Suscríbete Antiguos alumnos Sala de prensa Oficinas Contáctenos Quiénes somos Empleo
Sectores
Sectores
Áreas de práctica
Gente
Perspectivas
Eventos

Búsquedas populares

Atrás
Foley en la moda

El panorama de la privacidad en 2026: aspectos a tener en cuenta y cómo crear un programa sólido de cumplimiento normativo en materia de privacidad de datos

12 de marzo de 2026

Las empresas de moda, belleza y tecnología wearable se adentran en 2026 en un panorama de la privacidad de datos en rápida evolución que determinará la forma en que las marcas diseñan sus productos, personalizan las experiencias de los clientes y tratan la información personal. El año 2026 trae consigo nuevas leyes estatales generales de privacidad del consumidor en EE. UU., normativas cada vez más prescriptivas que regulan el uso de la inteligencia artificial y normas más estrictas en materia de datos sanitarios y biométricos, así como de la privacidad de los menores. La privacidad ya no es solo un requisito legal que cumplir; se está convirtiendo en una ventaja competitiva que fomenta la confianza de los consumidores y mitiga el riesgo de sanciones y litigios. Para aprovechar esta ventaja competitiva, las marcas deberían plantearse promover prácticas de datos transparentes para destacar en un mercado saturado.

Leyes estatales integrales de protección de la privacidad del consumidor en EE. UU.

Las leyes y normativas exhaustivas en materia de privacidad de los consumidores que entraron en vigor en enero

El 1 de enero de 2026 entraron en vigor tres nuevas leyes integrales de protección de la privacidad del consumidor en Indiana, Kentucky y Rhode Island, con lo que el número total de estados que cuentan con este tipo de legislación asciende a 20. Esperamos que otros estados aprueben leyes integrales de protección de la privacidad en 2026, así como nuevas modificaciones a las leyes existentes, tras las recientes actualizaciones en Colorado, Connecticut, Montana y Utah. El 1 de enero de 2026 también entraron en vigor importantes actualizaciones de los reglamentos de aplicación de la Ley de Privacidad del Consumidor de California (CCPA). Estas modificaciones abarcan la tecnología de toma de decisiones automatizada, las evaluaciones de riesgos y las auditorías de ciberseguridad, así como revisiones de la definición de información personal sensible, los requisitos de los avisos de privacidad y los derechos de los consumidores.

Para estar al tanto de estos rápidos avances, consulte la tabla comparativa de Foley sobre las leyes estatales de protección de la privacidad del consumidor en EE. UU., que se actualiza cada trimestre.

Datos biométricos

Los datos biométricos y corporales, como el mapeo facial, el escaneo corporal y las herramientas de análisis de la piel que se utilizan en probadores virtuales, dispositivos wearables y aparatos de belleza, siguen constituyendo una categoría de alto riesgo en 2026. Por lo general, estos datos se ajustan a la definición legal de «información personal sensible» recogida en las leyes estatales integrales de protección de la privacidad del consumidor.

La mayoría de las leyes estatales integrales sobre protección de la privacidad del consumidor limitan la definición de datos biométricos a aquellos que se utilizan para identificar de forma única a una persona. Por el contrario, la Ley de Protección de Datos de Connecticut («CTDPA») considera que los datos biométricos son información personal sensible, independientemente de si se tratan con el fin de identificar de forma única a una persona. Por lo tanto, el tratamiento de datos biométricos en el marco de estas leyes de privacidad conlleva requisitos más estrictos, como la obligación de obtener el consentimiento expreso, derechos adicionales para los consumidores y requisitos de divulgación.

En virtud de la CCPA, los consumidores tienen derecho a limitar el uso de su información personal sensible, lo que exige la publicación de información adicional y la inclusión de determinados enlaces en el sitio web de la empresa, como un enlace titulado «Sus opciones de privacidad», en función de las categorías de información personal que recopile la empresa. Por consiguiente, es fundamental comprender claramente las categorías de información personal recopiladas y los fines para los que se recopila, utiliza y divulga dicha información a fin de evaluar las obligaciones de cumplimiento de la empresa.

Leyes sobre la protección de datos de salud de los consumidores

Los datos sobre la salud y el bienestar de los consumidores seguirán siendo también un área de riesgo clave en 2026. Los dispositivos wearables y las aplicaciones relacionadas con la salud que analizan el estrés, el sueño, los patrones del ciclo menstrual o las afecciones cutáneas están cada vez más regulados por las leyes estatales de privacidad que rigen dichos datos de salud de los consumidores al margen de la HIPAA. Tal y como se comentó en una entrada anterior del blog, la CTDPA se modificó recientemente para incluir los datos de salud de los consumidores, y Washington y Nevada han promulgado leyes que regulan específicamente la privacidad de dichos datos. Las empresas que desarrollan dispositivos portátiles que recopilan datos relacionados con la salud y el bienestar de los consumidores deben comprender sus obligaciones en virtud de estas leyes, ya que los reguladores han dejado claro que la protección de los datos relacionados con la salud de los consumidores es una prioridad en la aplicación de la ley.

Un panorama de la privacidad infantil en rápida evolución

Se espera que las marcas que tengan la intención de recopilar datos personales de menores (por ejemplo, aplicaciones de moda dirigidas a los jóvenes, tutoriales de belleza gamificados y dispositivos wearables) cumplan con medidas de protección más estrictas a partir de 2026. En 2026 entrarán en vigor diversas leyes estatales que regulan la privacidad de los menores y la protección de niños y adolescentes en los espacios en línea. Estas leyes regulan, en general, las plataformas de redes sociales, el uso de la inteligencia artificial por parte de niños y adolescentes, así como las tiendas de aplicaciones y los desarrolladores de aplicaciones, y suelen imponer requisitos de verificación de la edad y consentimiento paterno. Se trata de un ámbito en rápida evolución, ya que muchas de estas leyes son impugnadas con frecuencia ante los tribunales y los estados siguen promulgando nueva legislación diseñada para resistir tales impugnaciones legales.

A nivel federal, la privacidad de los menores también es una prioridad fundamental. A principios de 2025, la FTC ultimó las normas relativas a la Ley de Protección de la Privacidad Infantil en Internet (COPPA), centradas en el consentimiento expreso para la publicidad dirigida, los límites a la conservación de datos y el programa de autorregulación «Safe Harbor» de la COPPA. La FTC ha indicado que tiene previsto comenzar a aplicar estas normas en 2026. Además, la FTC se ha centrado en las tecnologías de verificación y estimación de la edad y organizó un taller el 28 de enero para recabar opiniones de las principales partes interesadas, ya que la verificación de la edad se está convirtiendo en un requisito clave de cumplimiento en virtud de diversas leyes. Las marcas deben seguir de cerca estos avances a nivel estatal y federal.

Inteligencia artificial

Es poco probable que el uso y la regulación de la inteligencia artificial se ralenticen en 2026. Las empresas que utilicen la IA para la personalización, los modelos generados por IA y los probadores virtuales, la fijación dinámica de precios y otros casos de uso similares deberán cumplir con normas de transparencia más estrictas. Por ejemplo, la Ley de Inteligencia Artificial de la UE («Ley de IA de la UE») clasifica determinados sistemas biométricos que deducen atributos personales como sistemas de IA prohibidos, lo que podría tener un impacto en el sector minorista a medida que el uso de la IA siga desarrollándose. La aplicación de la Ley de IA de la UE comenzará a finales de este año.

En Estados Unidos, los estados siguen promulgando leyes relacionadas con la inteligencia artificial. En 2025, California aprobó varias leyes centradas en la inteligencia artificial y las normas de aplicación de la CCPA abordan ahora el uso de tecnologías de toma de decisiones automatizada. Dada la rápida adopción de la inteligencia artificial y sus amplios beneficios comerciales, es probable que los estados sigan regulando su uso. Estos avances ponen de relieve la creciente importancia de contar con una gobernanza sólida de la inteligencia artificial que ayude a las empresas a supervisar y cumplir con las obligaciones de cumplimiento normativo en constante evolución.

Publicidad personalizada, cookies y tecnologías de seguimiento, y demandas colectivas

Las empresas de moda, belleza y dispositivos wearables seguirán utilizando datos, cookies y otras tecnologías de seguimiento con fines de publicidad dirigida y análisis de datos. En los últimos años, ha aumentado considerablemente el número de demandas colectivas interpuestas al amparo de las leyes estatales sobre escuchas telefónicas, como la Ley de California contra la Violación de la Privacidad (CIPA), que cuestionan el uso de cookies y tecnologías de seguimiento sin el consentimiento adecuado. Los demandantes alegan que el uso de cookies y tecnologías de seguimiento, como los píxeles, constituye una interceptación ilegal en virtud de estas leyes. Además, también se ha producido un aumento de los litigios en virtud de la Ley de Protección de la Privacidad en el Vídeo (VPPA), una ley promulgada en 1989 y redactada para proteger el historial de alquiler de vídeos de los consumidores. Sin embargo, recientemente, los demandantes alegan que la divulgación de datos de visualización de vídeos mediante el uso de tecnologías de seguimiento viola la VPPA. A principios de este año, el Tribunal Supremo admitió a trámite un recurso de certiorari en un caso relacionado con la definición de «consumidor» en virtud de la VPPA para resolver una divergencia entre circuitos. La decisión del Tribunal Supremo tendrá inevitablemente un efecto en el futuro de los litigios sobre privacidad y es algo a lo que habrá que estar atentos en los próximos meses.

Para reducir el riesgo de verse implicadas en una demanda colectiva, las empresas deben revisar la configuración de su política de consentimiento sobre cookies para garantizar que estas y otras tecnologías de seguimiento no se carguen hasta que el visitante del sitio web dé su consentimiento expreso. Además, las empresas deberán asegurarse de que dichas cookies y tecnologías de seguimiento no se activen una vez que el usuario haya rechazado su uso. Las empresas también deben revisar sus políticas de privacidad y sus avisos legales para garantizar que reflejen con precisión la forma en que la empresa utiliza dichas cookies y tecnologías de seguimiento.

Al revisar los procedimientos de consentimiento, las empresas también deben asegurarse de que sus interfaces no estén diseñadas de forma que incluyan «patrones oscuros». Según las leyes estatales integrales de protección de la privacidad del consumidor, los «patrones oscuros» se definen generalmente como prácticas de diseño que menoscaban la autonomía del consumidor y manipulan su toma de decisiones. Un ejemplo común de patrón oscuro es facilitar el consentimiento para la recopilación de información personal, por ejemplo, incluyendo únicamente un botón de «Aceptar todas las cookies» en un banner de consentimiento de cookies, sin una opción clara para rechazar o excluirse del seguimiento. Para mitigar estos riesgos, las empresas deben implementar la «simetría en la elección», tal y como exige la CCPA. Una buena práctica consiste en incluir tanto la opción «Aceptar todas las cookies» como la opción «Rechazar todas las cookies» en un banner de consentimiento de cookies, para ayudar a garantizar que dicho banner cumpla con la legislación aplicable y las prácticas estándar del sector.

Desarrollo de un programa integral de cumplimiento de la normativa sobre protección de datos para mitigar el riesgo

Dado el creciente número de leyes y requisitos normativos, las empresas deben estar al tanto de la evolución legislativa y evaluar periódicamente su programa y sus políticas de protección de datos para garantizar que reflejen las últimas obligaciones legales y sus prácticas actuales de recogida de datos. En 2026, las empresas deberán revisar su programa de protección de datos, incluyendo, entre otros aspectos, los siguientes:

■ Integrar la privacidad desde el diseño, desde la fase de desarrollo hasta la implementación. Las empresas que combinan la expresión personal con tecnología avanzada que recopila información personal sensible sobre los consumidores, al aplicar la privacidad desde el diseño desde el principio, reducen los costes de rediseño y contribuyen a mitigar el riesgo de violaciones de datos, uso indebido y daños a la reputación.

■ Realizar ejercicios de mapeo de datos con las partes interesadas clave para comprender las categorías de datos personales que se recopilan, los fines para los que se recopilan dichos datos y a quién se les comunican. Esto permitirá a las empresas comprender las categorías de datos personales que se recopilan y cuáles son sus obligaciones en virtud de las leyes estatales generales de protección de la privacidad de los consumidores y de las leyes sobre la privacidad de los datos de salud de los consumidores.

■ Establecer un marco formal de gobernanza de la inteligencia artificial y la toma de decisiones automatizada que recopile los sistemas de inteligencia artificial y de toma de decisiones automatizada, clasifique los riesgos y se ajuste a los requisitos legales aplicables.

■ Establecer procedimientos de consentimiento, especialmente en lo que respecta a la recogida de datos personales sensibles y al uso de cookies y tecnologías de seguimiento.

■ Realizar una evaluación exhaustiva de los proveedores y estandarizar los contratos con ellos para garantizar que cada uno cumpla con un acuerdo de tratamiento de datos que se ajuste a los requisitos legales aplicables.

■ Realizar auditorías periódicas, evaluaciones de riesgos y cursos de formación para los empleados.

■ Implementar controles específicos de privacidad para menores, incluyendo la verificación de la edad, el consentimiento paterno, limitaciones en la elaboración de perfiles y la publicidad dirigida, así como la moderación de contenidos en los productos pertinentes, a fin de cumplir con la legislación estatal en materia de privacidad de niños y adolescentes.

Con las nuevas leyes estatales, la ampliación de la normativa sobre inteligencia artificial y la evolución de las obligaciones en materia de privacidad infantil, el año 2026 exigirá una gestión de datos rigurosa y una gestión proactiva de los riesgos. Las empresas que inviertan en programas integrales de cumplimiento normativo en materia de privacidad de datos no solo reducirán el riesgo de litigios y de incumplimientos normativos, sino que también mejorarán la reputación de su marca y se ganarán la confianza de los consumidores.

Descargo de responsabilidad

Información relacionada

Ver todas las publicaciones
12 de marzo de 2026 Foley en el mundo de la moda

Más allá de la etiqueta: la protección de marcas y diseños como ventaja competitiva en el sector de la belleza

Los envases imitados, la dilución de la marca y las tendencias de diseño en constante cambio aumentan las dificultades para las empresas que intentan mantener una presencia distintiva en este mercado. Los competidores y los imitadores surgen de la noche a la mañana, inspirándose a menudo en marcas de éxito y difuminando los límites entre «tendencia» y «imagen comercial».
12 de marzo de 2026 Foley en el mundo de la moda

Cómo la ley MoCRA está transformando la supervisión de los cosméticos por parte de la FDA en 2026

La Ley de Modernización de la Regulación de los Cosméticos de 2022 (MoCRA) supone el cambio más significativo en la normativa estadounidense sobre cosméticos desde que se promulgó la Ley Federal sobre Alimentos, Medicamentos y Cosméticos (FD&C Act) en 1938. La MoCRA amplía las competencias de la FDA, aumenta las obligaciones del sector y está transformando la forma en que los cosméticos se comercializan, se supervisan y, cuando es necesario, se retiran del mercado.
12 de marzo de 2026 Foley en el mundo de la moda

La recuperación de la cadena de suministro mundial provocará disputas entre fabricantes y marcas en 2026

Las continuas perturbaciones en la cadena de suministro global han convertido el rendimiento de esta en un riesgo judicial fundamental para las empresas del sector de la belleza y la moda. Sin embargo, son muy pocos los litigios en este ámbito que dan lugar a sentencias publicadas. Para anticiparse a cómo hacer frente a los incumplimientos de los plazos de entrega, los fallos en las fases iniciales de la cadena de suministro y las defensas basadas en causas ajenas, los equipos jurídicos internos pueden extraer valiosas lecciones de los proveedores y fabricantes de otras categorías de productos.