La denominada DelectAct, aprobada originalmente en 2023, entra en una fase decisiva con la aprobación, el 6 de noviembre de 2025, de las regulaciones que ponen en marcha el mecanismo centralizado de eliminación de datos personales bajo la CCPA. La aprobación fue anunciada oficialmente el 14 de noviembre por la California Privacy Protection Agency, confirmando que la norma entrará en vigor finalmente el 1 de enero del 2026.
La Agencia ha sido responsable del Registro de Intermediarios de Datos desde el 2024, pero con estas nuevas normas la Agencia pasará a gestionar no solo el registro y la supervisión de los brokers, sino también un canal técnico único para que los residentes de California ejerzan, de forma masiva, su derecho a la eliminación de datos ante dichos brokers.
El objetivo será crear la Plataforma de Solicitud de Eliminación y Exclusión Voluntaria (DROP), por la cual los residentes en California podrán presentar una única solicitud de eliminación que se distribuirá a todos los brokers registrados, que son potencialmente más de 500 entidades.
A partir del 1 de agosto de 2026, estos brokers deberán acceder al DROP al menos una vez cada 45 días para descargar las listas, verificarlas con sus bases de datos e informar del estado de cada solicitud en un plazo de 45 días. Una vez que el agente de datos haya completado el procesamiento de las solicitudes de eliminación, deberá informar de uno de los siguientes estados a través de DROP en un plazo de 45 días: “record deleted”, “record opted out of sale”, “record exempt” o “record not found”.
Las obligaciones recaen sobre las empresas que se ajustan a la definición de «data broker»: negocios que, de forma intencionada, recopilan y venden información personal de consumidores con los que no mantienen una relación directa, con excepciones para entidades ya sujetas a regímenes sectoriales como FCRA, GLBA o HIPAA. Las regulaciones descienden a un nivel de detalle muy técnico: exigen la normalización previa de los datos (normas sobre mayúsculas/minúsculas, eliminación de caracteres especiales, formatos estandarizados de fecha de nacimiento, códigos postales y teléfonos) y el uso de algoritmos hash alineados con los utilizados por la plataforma. Una vez identificada la coincidencia entre los identificadores del DROP y los registros del corredor de datos, la norma es clara: el broker debe eliminar toda la información personal relacionada.
La Delect Act prevé sanciones administrativas de 200 dólares por cada día de incumplimiento de la obligación de registro y 200 dólares por día y por consumidor en caso de no tramitar las solicitudes de eliminación, además de los costes de ejecución. A partir del 1 de enero de 2028, los brokers también estarán sujetos a auditorías independientes trienales, con la obligación de conservar los informes y la documentación durante al menos seis años.