O California Delete Act entrou em vigor em 1º de janeiro de 2026, inaugurando um novo modelo de exercício do direito de exclusão de dados pessoais nos Estados Unidos. A norma cria um mecanismo centralizado que permite aos residentes da Califórnia solicitarem, de uma só vez, a eliminação de suas informações pessoais mantidas por data brokers ou corretoras de dados – empresas que coletam e comercializam dados sem relação direta com os titulares. Para viabilizar tal direito, a lei instituiu a plataforma DROP (Delete Request and Opt-out Platform), que funciona como um canal único de comunicação entre cidadãos e essas empresas.

A dinâmica prevista para a exclusão dos dados estabelece que os data brokers devem consultar o sistema de solicitações a cada 45 dias, a fim de identificar pedidos de eliminação realizados pelos titulares. Após atender à solicitação, essas empresas ficam impedidas de voltar a comercializar ou repassar quaisquer dados relacionados ao titular, encerrando de maneira definitiva o vínculo informacional entre as partes.

A legislação também impõe aos data brokers a realização de auditorias independentes a cada três anos, cujos resultados deverão ser encaminhados à California Privacy Protection Agency (CPPA). Além disso, a norma altera a autoridade responsável pelo cadastro dessas empresas, transferindo essa atribuição do Procurador Geral para a CPPA, que passa a centralizar o controle a supervisão dessas questões.

Apesar dos avanços, a Delete Act enfrenta ainda críticas relevantes. Entre elas estão dúvidas quanto a viabilidade financeira da plataforma, preocupações com fraudes decorrentes da verificação de identidade e dificuldades para organizações sem fins lucrativos que dependem da base de dados de terceiros para desenvolver suas atividades.