Ampliando las fronteras del consentimiento y la privacidad de datos: Demandas colectivas sin violación de datos 

El panorama del consentimiento está experimentando cambios radicales en la forma en que los tribunales y los demandantes entienden la privacidad. La responsabilidad legal, que ya no se limita a casos de piratería informática o filtraciones de datos, se deriva cada vez más del uso rutinario de datos y de mecanismos de consentimiento inadecuados. Un creciente número de jurisprudencia reciente y acuerdos en demandas colectivas ilustran esta nueva "frontera", donde la ausencia de una violación de datos no exime a las empresas del riesgo legal.

Nuevas interpretaciones de la Ley de Privacidad del Consumidor de California (CCPA) impulsan estos cambios. Los tribunales ahora permiten demandas colectivas contra el intercambio rutinario de información personal, incluso cuando no se ha producido ninguna violación de datos.

¿Qué tipo de casos se ven afectados por estas sentencias? Un ejemplo es Shah contra Capital One, donde los demandantes alegaron que Capital One compartió datos personales con empresas de análisis y publicidad de terceros mediante píxeles de seguimiento y tecnologías integradas sin el aviso ni el consentimiento suficientes. El tribunal denegó la solicitud de desestimación de Capital One, reconociendo posibles infracciones de la CCPA en ausencia de fallos de ciberseguridad tradicionales. Esto supone un avance con respecto a las interpretaciones anteriores, que solo permitían la responsabilidad de la CCPA en casos de piratería informática, filtraciones o brechas de seguridad.

Además, en algunos casos judiciales se ha planteado la cuestión de si las cookies y las conversaciones con chatbots pueden considerarse «grabaciones» que infringen las leyes estatales estadounidenses sobre escuchas telefónicas, las cuales no guardan relación con la privacidad de los datos, sino con el consentimiento informado. ¿Qué mecanismos existen para obtener el consentimiento cuando ciertas formas de interacción nunca se habían clasificado como ahora, es decir, como violaciones de las leyes de escuchas telefónicas en lugar de violaciones de la privacidad de los datos?

Estos cambios abren un abanico más amplio de responsabilidad: las empresas ahora deben examinar minuciosamente no solo si los datos están protegidos, sino también si su recopilación, intercambio y uso cumplen con los estándares de notificación, consentimiento y control del consumidor, y si los mecanismos empleados podrían reclasificarse y dejar de cumplir con la normativa.

Incluso más allá de las tecnologías de rastreo, los tribunales y los organismos reguladores están rechazando otras formas de recopilación de datos sin consentimiento:

En un caso de Illinois de 2024, Charlotte Tilbury Beauty fue acusada de recopilar escaneos de geometría facial mediante herramientas de prueba virtual sin el consentimiento de los usuarios. La empresa acordó una indemnización de 2,93 millones de dólares en virtud de la Ley de Privacidad de Información Biométrica (BIPA), otorgando a cada demandante entre 700 y 1100 dólares sin necesidad de probar daños.

Esto pone de relieve cómo la recopilación de datos biométricos, especialmente sin el aviso adecuado ni la opción de exclusión voluntaria, constituye una nueva frontera en materia de responsabilidad por privacidad.

Los casos sin infracción de la privacidad también proliferan en otros lugares. Un acuerdo extrajudicial en una demanda colectiva contra GameStop alegaba la violación de la Ley de Protección de la Privacidad de Vídeo (VPPA), basada en el intercambio de datos de vídeo identificables de los usuarios con Facebook mediante píxeles de seguimiento, de nuevo, sin consentimiento. Los usuarios elegibles podían reclamar pequeños cupones en USD.

Este caso refleja el patrón de litigios derivados de prácticas de compartición o vigilancia, no del robo de datos.

Las demandas colectivas por privacidad también abarcan el ámbito de las comunicaciones con el consumidor. Un acuerdo de 5,95 millones de USD entre Albertsons, Star Markets y Safeway abordó presuntas violaciones de la Ley de Protección al Consumidor Telefónico (TCPA), específicamente, mensajes de texto y llamadas no solicitadas enviadas a pesar de las solicitudes de exclusión voluntaria.

Esto constituyó responsabilidad sin incumplimiento, sino por intrusión en la privacidad a través de las comunicaciones, en lugar de exposición de datos.

Esta diversificación de los litigios sobre privacidad se produce en medio de un aumento generalizado de casos en todo Estados Unidos. Una serie de artículos de marzo de 2025 sobre litigios de privacidad de datos en EE. UU. señala que solo en 2024 se presentaron casi 2000 demandas en tribunales federales, que abarcan filtraciones de datos, rastreo, intermediarios de datos, biometría, contratos y más.

Este creciente abanico de teorías legales refleja la evolución de la comprensión social sobre los daños a la privacidad.

Varios factores convergen para impulsar esta nueva frontera en la aplicación de la ley. Entre ellos se incluyen un mayor enfoque regulatorio en la transparencia, el consentimiento y el control del consumidor (no solo en la seguridad de los datos), la ambigüedad tecnológica, las pocas barreras para iniciar acciones legales y la gestión de riesgos corporativos.

Con estos factores en juego, las empresas deben empezar a reflexionar sobre qué significa el consentimiento en un panorama cada vez más fragmentado y en constante evolución. ¿Cómo pueden protegerse?

La primera línea de defensa es una plataforma de gestión del consentimiento, pero se requerirá un enfoque ecosistémico integral a medida que la legislación sobre el consentimiento cambie.