El Ecosistema Startup > Blog > Actualidad Startup > Flock Safety y CCPA: la trampa legal que afecta a tu SaaS
SaaS founder frente a un panel digital con metáforas visuales de privacidad y cumplimiento de CCPA en startups tecnológicas.

Flock Safety y CCPA: la trampa legal que afecta a tu SaaS

por

El argumento de Flock Safety que todo SaaS debería conocer

Un residente de California intentó ejercer su derecho legal a eliminar sus datos personales de Flock Safety, una startup valorada en 7.500 millones de dólares que opera más de 80.000 cámaras de reconocimiento de matrículas en todo Estados Unidos. La respuesta que recibió no fue una negativa directa — fue algo técnicamente más complicado y potencialmente más peligroso: «no somos los responsables de tus datos, habla con nuestros clientes».

Si construyes un producto SaaS, esa misma respuesta podría salirte de la boca en el futuro. Entender por qué puede ser incorrecta — y qué implica para tu startup — es una de las decisiones legales más importantes que tomarás antes de escalar.

¿Qué es Flock Safety y por qué recolecta tus datos sin pedirte permiso?

Flock Safety es una empresa de tecnología de seguridad pública fundada en 2017. Su producto principal son lectores automatizados de matrículas (ALPR, por sus siglas en inglés): pequeñas cajas negras instaladas en postes que fotografían cada vehículo que pasa, leen la placa con IA, registran la ubicación GPS, fecha y hora exactas, y suben todo a una base de datos en la nube llamada FlockOS.

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Los números son contundentes: sus sistemas procesan más de 20.000 millones de escaneos al mes. Operan en más de 4.000 ciudades y 49 estados de EE.UU., con contratos con más de 5.000 agencias policiales. No escanean solo a sospechosos — escanean a todos los conductores que pasan frente a una cámara, la mayoría sin saberlo.

Los datos que Flock recolecta van más allá del número de matrícula. Según análisis de la EFF (Electronic Frontier Foundation) y reportes de Malwarebytes (febrero 2026), el sistema registra: marca, modelo y color del vehículo, daños visibles, calcomanías, tipo de llantas, patrones de movimiento, y cualquier atributo visual procesable por IA. Con suficientes puntos de datos, es posible reconstruir los hábitos diarios de una persona: dónde trabaja, a qué médico va, con quién se reúne.

La maniobra legal: ¿qué responde Flock Safety cuando pides borrar tus datos?

Aquí está el núcleo del caso. Un residente de California invocó la CCPA (California Consumer Privacy Act) — la ley de privacidad más robusta de EE.UU. — para exigir la eliminación de sus datos. La respuesta de Flock fue la siguiente:

«Somos un service provider. No controlamos tus datos. Nuestros clientes (departamentos de policía y municipalidades) son los que deciden qué hacen con ellos. Dirígete a ellos.»

Bajo la CCPA, esta distinción importa mucho. La ley diferencia entre dos roles:

  • Business (negocio): la entidad que decide el propósito y el uso de los datos. Está obligada a procesar solicitudes de eliminación directamente.
  • Service provider (proveedor de servicios): actúa por instrucciones del business. No puede usar los datos para sus propios fines y, en teoría, traslada las solicitudes al business que controla los datos.

Flock argumenta que sus clientes — policías, municipios — son los «businesses» y ellos solo procesan por instrucción. Por tanto, el ciudadano debe ir a cada agencia policial que contrató a Flock y pedir la eliminación ahí.

El problema: Flock también admite usar datos anonimizados para entrenar sus propios modelos de IA. En el momento en que una empresa usa datos para sus propios fines — aunque sea de forma anonimizada — la frontera entre service provider y business se vuelve borrosa. Esto es precisamente lo que el autor del caso original considera que hace inválido el argumento de Flock, y lo que varios expertos en privacidad están evaluando judicialmente.

¿Qué dice la CCPA sobre el derecho a eliminar datos?

La CCPA, y su actualización CPRA (California Privacy Rights Act), establece el derecho de cualquier residente de California a solicitar la eliminación de sus datos personales. Pero con matices importantes:

  • Los businesses deben cumplir las solicitudes y propagar la eliminación a sus service providers.
  • Los service providers no son el punto de entrada para las solicitudes de ciudadanos — técnicamente, el ciudadano va al business.
  • Pero si el service provider usa los datos para sus propios fines (como entrenar IA), la CCPA puede reclasificarlo como business o como «third party», con obligaciones directas.

Las multas por violaciones intencionales a la CCPA llegan hasta 7.500 dólares por incidencia. Con millones de personas en la base de datos de Flock, la exposición legal potencial es enorme.

En Europa, el escenario es aún más claro: el GDPR establece que si un procesador de datos usa información para sus propios propósitos, se convierte automáticamente en controller con todas las obligaciones que eso implica, incluyendo multas de hasta el 4% de los ingresos globales anuales.

Qué significa esto para tu startup

Si construyes un SaaS, una plataforma B2B o cualquier producto que maneje datos de usuarios finales — aunque esos usuarios sean clientes de tus clientes — este caso es una advertencia directa. Estas son las acciones concretas que deberías revisar hoy:

  • Audita tu DPA (Data Processing Agreement): ¿Tienes firmado un contrato con cada cliente que especifique claramente que eres service provider? ¿Ese contrato limita explícitamente el uso de datos solo a las instrucciones del cliente? Si usas datos de usuarios para entrenar tu IA, mejorar tu producto o hacer benchmarking, necesitas revisarlo con un abogado especializado en privacidad.
  • Revisa si usas datos para tus propios fines: Este es el punto que puede reclasificarte de service provider a business bajo CCPA — o de processor a controller bajo GDPR. El uso de datos anonimizados para entrenar modelos es una zona gris activa en 2026. Documenta claramente qué datos usas, para qué y con qué base legal.
  • Diseña un flujo de derechos de datos desde el día 1: ¿Tienes un proceso para que tus clientes (los businesses) puedan responder a solicitudes CCPA/GDPR de sus propios usuarios? Si tu plataforma no tiene funcionalidad de eliminación de datos por usuario, estás poniendo a tus clientes en incumplimiento — y eso puede costarte el contrato o generar responsabilidad secundaria.
  • Si operas en California o con usuarios de California: La CCPA aplica a empresas con más de 25 millones de dólares en ingresos anuales, más de 100.000 usuarios de California, o más del 50% de ingresos provenientes de venta de datos. Muchas startups de crecimiento rápido cruzan estos umbrales sin darse cuenta.

El escenario real para una startup europea o latinoamericana

Para founders en España, México, Colombia o Argentina, este caso tiene una capa adicional: si tu startup maneja datos de usuarios de California o de la Unión Europea — aunque tu empresa esté en LATAM — las leyes aplican igualmente.

El GDPR tiene alcance extraterritorial explícito: si ofreces servicios a ciudadanos europeos, el reglamento aplica sin importar dónde esté registrada tu empresa. Las multas de la Agencia Española de Protección de Datos (AEPD) y de otras autoridades europeas son reales — en 2025, se emitieron más de 1.200 millones de euros en sanciones en toda la UE.

La lección del caso Flock no es solo para empresas de vigilancia. Es para cualquier startup que recolecte, procese o almacene datos de personas. La estructura legal de tu relación con los datos es una decisión de producto, no solo de compliance.

¿Qué está pasando con Flock Safety en 2026?

Más allá del caso individual, Flock Safety enfrenta un escrutinio creciente. En febrero de 2026, Malwarebytes reportó que cámaras de Flock habían compartido datos de matrículas sin permiso. En el mismo periodo, análisis del campus de Cal Poly revelaron que sus cámaras Flock registraron 55.070 detecciones en 30 días y 406 búsquedas desde junio de 2025.

El movimiento DeFlock — una comunidad distribuida que mapea la ubicación de cámaras Flock para informar a la ciudadanía — ya tiene georeferenciadas más de 29.000 cámaras en EE.UU. Es una señal clara de que la resistencia civil a la vigilancia masiva está creciendo, y que las empresas que operan en este espacio están bajo la lupa.

Flock Safety facturó aproximadamente 300 millones de dólares en 2024 y cada cámara tiene un precio de entre 3.000 y 3.500 dólares más suscripción anual. Es un negocio lucrativo — y también un caso de estudio sobre cómo escalar sin suficiente diseño de privacidad desde el inicio.

Conclusión

El intento de un ciudadano de California de eliminar sus datos de Flock Safety expone una tensión real en el ecosistema SaaS: la frontera legal entre ser un service provider y ser un business que controla datos es más delgada de lo que parece en papel.

Para cualquier founder que construya sobre datos de usuarios — directos o indirectos — el mensaje es claro: definir tu posición legal frente a los datos no es un problema del equipo jurídico cuando llegues a Serie B. Es una decisión arquitectónica que afecta tu producto, tus contratos y tu capacidad de escalar en mercados regulados.

Privacidad bien diseñada no frena el crecimiento. Lo protege.

Fuentes

  1. https://honeypot.net/2026/04/14/i-wrote-to-flocks-privacy.html (fuente original)
  2. https://www.malwarebytes.com/es/blog/privacy/2026/02/flock-cameras-shared-license-plate-data-without-permission
  3. https://proton.me/es-es/blog/ai-license-plate-reader
  4. https://forbes.es/start-ups/790993/esta-startup-de-ia-cree-que-puede-eliminar-todos-los-delitos-en-ee-uu/
  5. https://sls.eff.org/es/technologies/lectores-automatizados-de-matriculas-alpr
  6. https://forbes.co/2025/09/03/ia/la-startup-de-inteligencia-artificial-flock-cree-que-puede-eliminar-todos-los-delitos-en-estados-unidos/
¿te gustó o sirvió lo que leíste?, Por favor, comparte.
LinkedInPrintRedditTelegramWhatsApp

👥 ¿Quieres ir más allá de la noticia?

En nuestra comunidad discutimos las tendencias, compartimos oportunidades y nos ayudamos entre emprendedores. Sin humo, solo acción.

👥 Unirme a la comunidad

Artículos relacionados:

Ciudadanos desmantelan cámaras de vigilancia Flock Safety en protesta por privacidad y ética tecnológica en EEUU.Flock Safety: cuando la vigilancia tech genera resistencia Cancelación de alianza entre Ring y Flock Safety simbolizada por ruptura de vigilancia masiva y protección de la privacidad tecnológica.Ring Cancela Alianza con Flock Safety por Vigilancia Masiva Vulnerabilidades de ciberseguridad en cámaras Flock expuestas ante ataques de hackers que comprometen la seguridad policial.Legisladores alertan sobre vulnerabilidades de ciberseguridad en cámaras Flock Escena urbana nocturna con cámaras de vigilancia inteligentes y escudo digital en naranja y negro, simbolizando la ciberseguridad y privacidad en tecnología de vigilancia para startups.Vigilancia y ciberseguridad: lecciones de Flock Safety Amazon Ring cancela asociación con Flock, resaltando controversias éticas y de privacidad en vigilancia con IA para Super Bowl 2026.Amazon Ring cancela asociación con Flock: lecciones en IA

Daily Shot: Tu ventaja táctica

Lo que pasó en las últimas 24 horas, resumido para que tú no tengas que filtrarlo.

Suscríbete para recibir cada mañana la curaduría definitiva del ecosistema startup e inversionista. Sin ruido ni rodeos, solo la información estratégica que necesitas para avanzar:

  • Venture Capital & Inversiones: Rondas, fondos y movimientos de capital.
  • IA & Tecnología: Tendencias, Web3 y herramientas de automatización.
  • Modelos de Negocio: Actualidad en SaaS, Fintech y Cripto.
  • Propósito: Erradicar el estancamiento informativo dándote claridad desde tu primer café.

Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly