Una demanda colectiva presentada el 13 de mayo en el tribunal federal de California alega que OpenAI compartió consultas de chat, correos y user IDs con Meta y Google a través de las herramientas de rastreo Meta Pixel y Google Analytics, sin obtener el consentimiento informado que el estatuto de escucha ilegal de California requiere. El abogado Robert Freund está en la presentación. La queja cita el California Invasion of Privacy Act (CIPA) y el Electronic Communications Privacy Act federal. OpenAI no comentó de inmediato. Esta es la etapa de alegación — nada está adjudicado — pero el mecanismo nombrado es concreto y vale la pena entenderlo.
El patrón técnico alegado es el embed ad-tech estándar: scripts de Meta Pixel y Google Analytics cargados en páginas donde los usuarios envían datos, transmitiendo alguna carga útil a Meta y Google para atribución publicitaria. El mismo patrón ha producido un expediente CIPA creciente contra portales de salud y aplicaciones de consumo desde 2023. La pregunta técnica no resuelta — la que decide la demanda — es qué fluyó realmente a los rastreadores. Si la carga útil era metadatos de visualización de página, URLs y clicks, eso es web analytics estándar que ha sobrevivido a la mayoría de los desafíos CIPA. Si cuerpos de mensajes de chat, prompts o contenidos de correo transitaron por las llamadas pixel, esa es la lectura wiretap que los demandantes están presionando. La queja afirma lo segundo; el descubrimiento decidirá.
El gancho legal aquí es específico de California: CIPA es un estatuto de consentimiento bipartito, y la doctrina que ha hecho el daño en los casos Pixel trata al rastreador de terceros como una "no-parte de la comunicación" más que como una extensión proveedor-de-servicios del sitio web. La política de privacidad de OpenAI sí divulga que "recopila, almacena y comparte" entradas de consumidores e información personal — el reclamo de los demandantes es que la divulgación general no equivale a consentimiento informado específico para enrutar contenido de chat a través de la infraestructura ad-tech de Meta y Google. La misma brecha legal se sienta dentro de la mayoría de los productos IA de consumo que tienen un sitio de marketing, una superficie de chat con sesión iniciada y atribución basada en pixel.
Para builders que envían IA de consumo: audita lo que realmente entra en tus rastreadores. Campos de formulario, texto de prompt, texto de respuesta, query strings, IDs de conversación — cada carga útil es una exhibición potencial en una futura presentación CIPA si contiene contenido de comunicación en lugar de metadatos de navegación. La divulgación genérica de política de privacidad ha estado perdiendo en esta cuestión. El server-side tagging que despoja el contenido antes de que llegue a Meta o Google es la respuesta arquitectónica a la que algunos equipos han migrado; los banners de consentimiento que nombran específicamente a los rastreadores de terceros son la respuesta legal de otros. Espera más de estas presentaciones contra los productos IA principales este año — OpenAI es el primer gran nombre IA-nativo en entrar en una línea de litigio que de otra manera ha estado golpeando hospitales, minoristas y aplicaciones de telesalud.