Varios

Panorama de la legislación federal de privacidad de Estados Unidos en el litigio sobre cookies y tecnologías de rastreo

En el panorama digital en rápida evolución, el uso de cookies y otras tecnologías de rastreo se ha vuelto cada vez más generalizado, planteando cuestiones legales con las que los tribunales estadounidenses continúan lidiando.

Por Lynn Parker Dupree y Victor Palace, Finnegan

 Los demandantes han respondido invocando una variedad de estatutos federales, cada uno con sus propios requisitos e interpretaciones judiciales. Este artículo examina cómo los tribunales federales han abordado las demandas presentadas bajo estatutos clave de privacidad federal, destacando las tendencias legales emergentes que tanto demandantes como demandados deben navegar en el litigio sobre rastreo en línea. Para las empresas latinoamericanas con presencia digital en Estados Unidos—ya sea a través de sitios web, aplicaciones móviles o plataformas de comercio electrónico—comprender este marco legal es esencial para evitar costosos litigios y sanciones.

I. La Ley de Escuchas Telefónicas (Wiretap Act)

La Ley de Escuchas Telefónicas (Wiretap Act) ha demostrado ser un vehículo popular para el litigio basado en rastreo por cookies, aunque las divisiones entre circuitos han creado incertidumbre sobre su alcance. La Ley de Escuchas Telefónicas prohíbe la interceptación intencional de comunicaciones electrónicas, ofreciendo medidas cautelares, honorarios de abogados y daños potencialmente sustanciales: ya sean daños reales o daños estatutarios de $100 por día o $10,000, lo que sea mayor. 18 U.S.C. § 2520(b), (c)(2). Este esquema de recursos ha hecho que la Ley de Escuchas Telefónicas sea un estatuto frecuentemente invocado en el litigio sobre tecnologías de rastreo.

La aplicación de la Ley de Escuchas Telefónicas ha generado desacuerdos entre los tribunales de circuito, particularmente respecto a si las entidades que simultáneamente copian o redirigen comunicaciones de usuarios califican como “partes” exentas de las prohibiciones de la Ley de Escuchas Telefónicas. Esta exención establece que no es ilegal que una persona intercepte comunicaciones cuando esa persona es parte de la comunicación o cuando una de las partes ha dado consentimiento previo a dicha interceptación, a menos que la interceptación sea para un propósito ilegal. 18 U.S.C. § 2511(2)(d). Las demandas bajo la Ley de Escuchas Telefónicas que involucran el uso de cookies a menudo se centran en la supuesta copia de solicitudes “GET”—el comando del navegador que recupera el contenido de la página web—desde el navegador del usuario hacia sitios web de terceros. En consecuencia, estas demandas plantean la cuestión de si una empresa que duplica simultáneamente dichas solicitudes constituye una “parte” de la comunicación en el sentido de la Ley de Escuchas Telefónicas, o si dicha duplicación representa una interceptación prohibida.

El Noveno Circuito ha limitado la excepción, sosteniendo que la duplicación simultánea de solicitudes GET constituye una interceptación prohibida en lugar de una comunicación de parte exenta. En In re Facebook, Inc. Internet Tracking Litigation, 956 F.3d 589 (9th Cir. 2020), el tribunal sostuvo que la duplicación simultánea y desconocida de solicitudes GET no exime a un demandado de responsabilidad bajo la excepción de parte. Íd. en 608. El tribunal explicó que permitir que una entidad participe en la duplicación y reenvío no autorizado de información de usuarios desprevenidos haría permisibles los métodos más comunes de intrusión, permitiendo que la excepción consuma la regla. Íd.

Por el contrario, el Tercer Circuito ha adoptado un enfoque más expansivo de la excepción. En In re Google Inc. Cookie Placement Consumer Privacy Litigation, 806 F.3d 125 (3d Cir. 2015), sostuvo que los demandados eran los destinatarios previstos de las solicitudes GET y por lo tanto eran partes de las transmisiones en cuestión, quedando exentos de responsabilidad bajo la Ley de Escuchas Telefónicas. Íd. en 143. El tribunal determinó que las alegaciones operativas de la demanda solo respaldaban la conclusión de que los demandados habían adquirido la información del historial de internet de los demandantes mediante solicitudes GET enviadas directamente por los demandantes, y que los demandados implementaron cookies identificadoras para hacer que la información recibida fuera asociable y rastreable. Íd. en 142.

Más allá de la excepción de parte, los tribunales también han lidiado con la cuestión de si las cookies y otros datos de rastreo constituyen “contenido” de comunicaciones protegidas por la Ley de Escuchas Telefónicas. 18 U.S.C. § 2510(8). En un caso que involucraba cookies de rastreo colocadas en computadoras de niños, In re Nickelodeon Consumer Privacy Litigation, 827 F.3d 262 (3d Cir. 2016), el Tercer Circuito sostuvo que las URL que revelan información sustantiva sobre la actividad de navegación web califican como contenido protegido, concluyendo que transmiten más información que mera información de marcado, enrutamiento, direccionamiento o señalización. Íd. en 275.

El Noveno Circuito ha llegado a una conclusión más estrecha, distinguiendo las URL de búsqueda de los encabezados de referencia que contienen identificadores de Facebook e información de direcciones web sin términos de búsqueda o comunicaciones realizadas por el usuario. En In re Zynga Privacy Litigation, 750 F.3d 1098 (9th Cir. 2014), el tribunal sostuvo que el término “contenido” se refiere al mensaje previsto transmitido por la comunicación, y no incluye información de registro sobre las características del mensaje que se genera en el curso de la comunicación. Íd. en 1106.

El requisito de “contemporaneidad con la transmisión” para la interceptación ha limitado aún más la aplicación de la Ley de Escuchas Telefónicas. Konop v. Hawaiian Airlines, Inc., 302 F.3d 868, 878 (9th Cir. 2002). Los tribunales que aplican este estándar a menudo requieren que la supuesta interceptación ocurra durante la transmisión, no mientras la comunicación está en almacenamiento electrónico. Íd. Este requisito ha creado una ventana temporal durante la cual las actividades de rastreo deben ocurrir para violar la Ley de Escuchas Telefónicas—un análisis que se ha vuelto cada vez más técnico a medida que evolucionan las tecnologías de rastreo.

Estos requisitos y divisiones entre circuitos tienen implicaciones significativas para las empresas que operan a nivel nacional en Estados Unidos, ya que las prácticas de rastreo basadas en cookies que son legales en una jurisdicción pueden crear responsabilidad en otra. Sin embargo, a medida que las tecnologías de rastreo continúan evolucionando, la Ley de Escuchas Telefónicas probablemente permanecerá en el centro del litigio de privacidad, con su aplicación moldeada por la resolución de las divisiones entre circuitos y la sofisticación de la tecnología de rastreo en cuestión.

II. La Ley de Comunicaciones Almacenadas (Stored Communications Act)

Aunque los demandantes frecuentemente invocan la Ley de Comunicaciones Almacenadas (Stored Communications Act o “SCA”) en el litigio de privacidad basado en cookies, los tribunales han limitado su aplicabilidad a través de lecturas estrechas de los elementos centrales del estatuto. Para prevalecer en una demanda bajo la SCA, los demandantes deben establecer que los demandados (1) accedieron intencionalmente sin autorización a una instalación a través de la cual se proporciona un servicio de comunicación electrónica; o (2) excedieron intencionalmente una autorización para acceder a esa instalación; y con ello obtuvieron, alteraron o impidieron el acceso autorizado a una comunicación por cable o electrónica mientras está en almacenamiento electrónico en dicho sistema. 18 U.S.C. § 2701(a).

El requisito umbral de “instalación” ha resultado decisivo en muchas demandas de SCA basadas en cookies, con los tribunales rechazando la noción de que las computadoras personales o dispositivos móviles califiquen como “instalaciones” bajo la SCA. La decisión del Tercer Circuito en In re Google, 806 F.3d en 146, ejemplifica este enfoque, coincidiendo con el tribunal inferior en que el dispositivo informático personal de un individuo no constituye una instalación a través de la cual se proporciona un servicio de comunicaciones electrónicas.

Incluso cuando los demandantes han intentado caracterizar sus datos de navegación como estando en “almacenamiento electrónico”, han enfrentado un obstáculo igualmente desafiante. Los tribunales han interpretado que el “almacenamiento electrónico” requiere almacenamiento temporal e intermedio incidental a la transmisión—un requisito que el almacenamiento permanente de cookies en discos duros generalmente no cumple. Como observó un tribunal, la existencia indefinida en discos duros es lo opuesto a temporal. In re DoubleClick Inc. Priv. Litig., 154 F. Supp. 2d 497, 512 (S.D.N.Y. 2001).

A pesar de estas limitaciones, los demandantes que persiguen demandas bajo la SCA han tenido mejor suerte en la cuestión de legitimación activa. Desde la decisión de la Corte Suprema en Spokeo, Inc. v. Robins, 578 U.S. 330 (2016), los tribunales federales generalmente han encontrado que las violaciones de la SCA dan lugar a lesiones concretas suficientes para establecer legitimación bajo el Artículo III. En In re Facebook, el Noveno Circuito reconoció que la SCA codifica derechos sustantivos de privacidad, cuya violación constituye una lesión concreta y particularizada. 956 F.3d en 598. Este hallazgo ha permitido que algunas demandas sobrevivan los desafíos iniciales de legitimación, solo para fallar posteriormente en el fondo debido a las interpretaciones restrictivas de los requisitos sustantivos del estatuto. V.gr., íd. en 609-10.

La desconexión entre el umbral de legitimación de la SCA y sus limitaciones sustantivas refleja una tensión más amplia en el litigio de privacidad: mientras los tribunales reconocen cada vez más las violaciones de privacidad como lesiones cognoscibles, siguen siendo reacios a extender estatutos de décadas de antigüedad a las tecnologías modernas de rastreo sin una dirección clara del Congreso de Estados Unidos. Estas interpretaciones restrictivas han limitado la aplicabilidad de la SCA en el litigio de privacidad basado en cookies a circunstancias estrechas donde los demandantes pueden demostrar almacenamiento temporal y acceso no autorizado a una instalación calificada.

III. La Ley de Fraude y Abuso Informático (Computer Fraud and Abuse Act)

La Ley de Fraude y Abuso Informático (Computer Fraud and Abuse Act o “CFAA”) ha demostrado ser un molde incómodo para las demandas de privacidad basadas en cookies, principalmente debido a su enfoque en el daño económico. Originalmente diseñada para combatir la piratería informática, la CFAA requiere que los demandantes demuestren “daño” o “pérdida” que sume al menos $5,000—un umbral que a menudo frustra las demandas basadas en cookies. 18 U.S.C. § 1030.

Los tribunales han rechazado los argumentos de que la recopilación o divulgación no autorizada de información personal a través de cookies constituye un “daño” compensable bajo la CFAA. La decisión del Tercer Circuito en In re Google muestra este enfoque, encontrando que la demostración de los demandantes de que la información del historial de navegación tenía valor de mercado era insuficiente porque no alegaron hechos que sugirieran que alguna vez participaron o pretendieron participar en el mercado que identifican, o que los demandados les impidieron capturar el valor completo de su información de uso de internet para sí mismos. 806 F.3d en 149.

De manera similar, las alegaciones de que las cookies “dañaron” las computadoras han sido rechazadas, ya que los demandantes no han podido cuantificar ningún daño real a sus dispositivos. En Mount v. PulsePoint, Inc., No. 13 CIV. 6592 (NRB), 2016 WL 5080131, en *8 (S.D.N.Y. 17 de agosto de 2016), confirmado, 684 F. App’x 32 (2d Cir. 2017), el tribunal encontró que los demandantes no podían satisfacer el umbral monetario de la CFAA porque no habían pagado por Safari ni alegado hechos de los cuales el tribunal pudiera inferir que el supuesto deterioro de sus navegadores causó daños cuantificables.

La definición de “pérdida” de la CFAA ha creado una barrera igualmente desafiante. La CFAA define “pérdida” para incluir los costos de responder a una ofensa, evaluación de daños, restauración de datos e ingresos perdidos por interrupción del servicio. 18 U.S.C. § 1030(e)(11). Dado que las cookies rara vez requieren que los usuarios gasten tiempo o dinero reparando sus dispositivos o resultan en interrupciones del servicio, los demandantes no han podido establecer el daño económico requerido. Como observó el tribunal en In re DoubleClick, los usuarios pueden fácil y sin costo prevenir que el demandado recopile información simplemente seleccionando opciones en sus navegadores u optando por no participar. 154 F. Supp. 2d en 524.

A diferencia de la Ley de Escuchas Telefónicas y la SCA, que protegen los intereses de privacidad independientemente del impacto económico, los requisitos de daño y pérdida de la CFAA crean una barrera para las demandas de privacidad basadas en cookies. En ausencia de consecuencias financieras significativas por la colocación de cookies, la CFAA probablemente seguirá siendo un estatuto periférico en el litigio de rastreo en línea, invocado exitosamente en casos donde los demandantes pueden demostrar daño económico cuantificable que exceda el umbral de $5,000 requerido por 18 U.S.C.A. § 1030(g).

IV. La Ley de Protección de Privacidad de Videos (Video Privacy Protection Act)

Mientras que los estatutos de privacidad anteriores han mostrado una adaptabilidad limitada a la tecnología de cookies, la Ley de Protección de Privacidad de Videos (Video Privacy Protection Act o “VPPA”) ha visto un crecimiento significativo en litigios en la era de Meta Pixel y tecnologías de rastreo similares. Originalmente promulgada en 1988 para proteger los registros de alquiler de videos, la VPPA ha sido aplicada a las prácticas modernas de rastreo de video.

La VPPA prohíbe que los proveedores de servicios de cintas de video divulguen a sabiendas información de identificación personal sobre sus consumidores. 18 U.S.C. § 2710(b)(1). Los tribunales han interpretado que la VPPA se extiende a los proveedores de video en línea, reconociendo que el Congreso estaba preocupado por proteger la confidencialidad de la información privada independientemente del modelo de negocio o formato de medios involucrado. In re Hulu Priv. Litig., No. C 11-03764 LB, 2012 WL 3282960, en *6 (N.D. Cal. 10 de agosto de 2012). Esta disposición judicial para aplicar la VPPA a contextos digitales la ha hecho cada vez más relevante en la era de los medios de transmisión.

Los litigios recientes se han centrado en el uso de Meta Pixel, una tecnología de rastreo que, cuando se implementa en páginas web que muestran videos, transmite el identificador de Facebook junto con el historial de visualización de videos. Esta tecnología ha planteado preguntas sobre qué constituye “información de identificación personal” bajo la VPPA. Los Circuitos Segundo, Tercero y Noveno han adoptado un estándar de “persona ordinaria” bajo el cual la información de identificación personal abarca información que permitiría a una persona ordinaria (en lugar de una “empresa tecnológica sofisticada”) identificar los hábitos de visualización de videos de un consumidor. Solomon v. Flipps Media, Inc., 136 F.4th 41, 51-52 (2d Cir. 2025). El Segundo Circuito, aplicando esta prueba, encontró que los títulos de videos y los identificadores de Facebook transmitidos a través de Meta Pixel no constituyen información de identificación personal porque están integrados dentro de cadenas de código complejas que una persona ordinaria no podría descifrar fácilmente para identificar los hábitos de visualización de videos de individuos específicos. Íd. en 54-55. Por el contrario, el Primer Circuito aplica un estándar más amplio de “previsibilidad razonable” bajo el cual la información de identificación personal incluye información que razonablemente y de manera previsible podría revelar qué videos ha obtenido el demandante. Yershov v. Gannett Satellite Info. Network, Inc., 820 F.3d 482, 486 (1st Cir. 2016). Un tribunal de distrito en el Primer Circuito, aplicando este estándar, encontró que un identificador de Facebook transmitido a través de píxel de rastreo constituye información de identificación personal porque es un identificador único que permite a cualquiera descubrir la identidad del usuario. Belozerov v. Gannett Co., 646 F. Supp. 3d 310, 314 (D. Mass. 2022).

Las empresas han intentado defenderse contra estas demandas argumentando que no son “proveedores de servicios de cintas de video” bajo la VPPA, particularmente cuando compartir videos es periférico a su negocio principal. Los tribunales han desarrollado una prueba funcional, examinando si el producto o servicio del demandado está sustancialmente involucrado en la transmisión de contenido de video y significativamente adaptado para servir ese propósito. En In re Vizio, Inc., Consumer Privacy Litigation, 238 F. Supp. 3d 1204, 1221-22 (C.D. Cal. 2017), el tribunal aplicó este enfoque, encontrando que un fabricante de televisores inteligentes con software de transmisión integrado calificaba como proveedor de servicios de cintas de video donde el software estaba diseñado para entregar sin problemas contenido de múltiples plataformas de transmisión y el demandado cobraba a los consumidores una prima específicamente por esta capacidad.

Otro tema controvertido involucra el significado de “suscriptor” bajo la VPPA. Los tribunales están divididos sobre la cuestión. El Sexto Circuito y varios tribunales de distrito han interpretado el término estrictamente, requiriendo que los demandantes se suscriban específicamente para recibir materiales audiovisuales en lugar de simplemente suscribirse a los productos del demandado en general. Bajo esta interpretación, cuando los demandantes han alegado que se suscribieron a boletines en línea que incidentalmente contenían videos o enlaces de video, los tribunales generalmente han sostenido que tales suscripciones no desencadenan responsabilidad bajo la VPPA. V.gr., Salazar v. Paramount Glob., 683 F. Supp. 3d 727 (M.D. Tenn. 2023), confirmado, 133 F.4th 642 (6th Cir. 2025); Carter v. Scripps Networks, LLC, 670 F. Supp. 3d 90 (S.D.N.Y. 2023); Brown v. Learfield Commc’ns, LLC, 713 F. Supp. 3d 355 (W.D. Tex. 2024). Sin embargo, los Circuitos Segundo y Séptimo han adoptado una interpretación más amplia, sosteniendo que suscribirse a cualquier bien o servicio—incluyendo boletines no audiovisuales—de un proveedor de servicios de cintas de video es suficiente para conferir estatus de suscriptor bajo la VPPA. V.gr., Salazar v. Nat’l Basketball Ass’n, 118 F.4th 533 (2d Cir. 2024); Gardner v. Me-TV Nat’l Ltd. P’ship, 132 F.4th 1022, 1023 (7th Cir. 2025), reconsideración denegada, No. 24-1290, 2025 WL 1433664 (7th Cir. 14 de mayo de 2025).

Otra cuestión litigada ha sido si los operadores de sitios web “divulgan a sabiendas” información personal cuando instalan Meta Pixel en sus sitios. Los demandados han argumentado que carecen del conocimiento requerido porque no saben si usuarios particulares son usuarios de Facebook y porque Meta Pixel desencadena el intercambio del identificador de Facebook a través del navegador del usuario en lugar de directamente desde el sitio web. Los tribunales han rechazado esta distinción técnica, sin embargo. Como razonó el tribunal en Czarnionka v. Epoch Times Ass’n, Inc., No. 22 CIV. 6348 (AKH), 2022 WL 17069810, en *3 (S.D.N.Y. 17 de noviembre de 2022), al instalar el Pixel, el demandado abrió una puerta digital e invitó a Facebook a entrar y extraer información desde adentro.

La VPPA ha mostrado una aplicabilidad más amplia a las tecnologías modernas de rastreo que otros estatutos de privacidad anteriores a internet. Mientras que la Ley de Escuchas Telefónicas, la SCA y la CFAA han encontrado limitaciones interpretativas significativas en el litigio basado en cookies, los tribunales han aplicado más fácilmente la VPPA al rastreo de video a través de Meta Pixel y tecnologías similares. La protección del estatuto de los hábitos de visualización identificables, en lugar de procesos técnicos específicos, ha demostrado ser menos dependiente de implementaciones tecnológicas particulares que las disposiciones más técnicamente específicas encontradas en otras leyes de privacidad.

V. Conclusión

La aplicación de los estatutos federales de privacidad a las tecnologías de rastreo varía significativamente entre jurisdicciones estadounidenses. Estas variaciones jurisdiccionales significan que prácticas de rastreo idénticas pueden ser permisibles en algunos circuitos mientras crean responsabilidad en otros. Los detalles técnicos a menudo determinan los resultados. Para las empresas latinoamericanas que operan en el mercado estadounidense, esta complejidad jurisdiccional requiere una evaluación cuidadosa del cumplimiento normativo. Los practicantes deben evaluar tanto el precedente del circuito aplicable como las implementaciones técnicas específicas al evaluar los requisitos de cumplimiento o la exposición al litigio bajo estos estatutos federales.