Perspectivas sobre tecnología innovadora

El delicado equilibrio del cumplimiento normativo: conciliar la uniformidad y la precisión en las leyes estatales de protección de datos de EE. UU.

1 de abril de 2026

I. Introducción

Este artículo tiene por objeto ofrecer una visión general del panorama actual de la privacidad de los consumidores en los Estados Unidos, las principales diferencias entre las leyes estatales, enfoques prácticos para el cumplimiento normativo y recomendaciones prácticas para poner en marcha programas de privacidad en un entorno normativo fragmentado.

Las empresas que operan actualmente en Estados Unidos se enfrentan a uno de los entornos normativos en materia de privacidad más complejos del mundo. A diferencia de la Unión Europea, que adoptó un marco único y exhaustivo con el Reglamento General de Protección de Datos («RGPD»), Estados Unidos carece de una ley federal general sobre la privacidad de los consumidores que regule la recopilación y el uso de la información personal. Los estados han llenado ese vacío, creando un mosaico de normas en rápido crecimiento y a menudo contradictorias que supone un reto incluso para los programas de privacidad más sofisticados. Con más de veinte leyes estatales exhaustivas sobre la privacidad de los consumidores ya promulgadas, y la cifra sigue aumentando, comprender los requisitos de cada estado —y elegir la estrategia de cumplimiento adecuada— ya no es opcional. Es fundamental para una gobernanza responsable de los datos y, a medida que expiran los plazos de regularización y los reguladores afilan sus herramientas de aplicación, el margen de error se reduce trimestre a trimestre.

En los apartados siguientes se describe el surgimiento del régimen de protección de datos a nivel estatal, se analiza el papel preponderante de California, se examinan los estados «de referencia» que han seguido el ejemplo de Virginia, se identifican las diferencias fundamentales que distinguen estas leyes entre sí, se explora el papel emergente de las disposiciones sobre la toma de decisiones automatizada, se analizan las tendencias en materia de aplicación de la ley y se presentan dos modelos de cumplimiento contrapuestos, junto con orientaciones prácticas para armonizarlos en un programa coherente.

II. El auge del régimen de protección de datos a nivel estatal

Cuando el RGPD entró en vigor el 25 de mayo de 2018, redefinió las expectativas mundiales en materia de protección de datos y otorgó a los ciudadanos de toda la Unión Europea un sólido conjunto de derechos sobre sus datos personales. Ese mismo año, California promulgó la Ley de Privacidad del Consumidor de California (CCPA), la primera ley integral de privacidad del consumidor en los Estados Unidos, que entró en vigor el 1 de enero de 2020. La CCPA fue posteriormente modificada y ampliada de manera significativa por la Ley de Derechos de Privacidad de California (California Privacy Rights Act, «CPRA»), que los votantes de California aprobaron mediante una iniciativa popular en noviembre de 2020 y que entró plenamente en vigor el 1 de enero de 2023.¹

La legislación de California marcó la pauta. En los años siguientes, más de veinte estados adicionales promulgaron sus propias leyes integrales sobre la privacidad de los consumidores.² Cada una de estas leyes otorga a los consumidores alguna versión de los derechos fundamentales que se han convertido en norma en el léxico moderno de la privacidad: acceso, supresión, rectificación, portabilidad y la posibilidad de excluirse de determinadas actividades de tratamiento. Sin embargo, aunque estas leyes comparten similitudes a primera vista, difieren en detalles fundamentales. Cada estado establece sus propias definiciones, exenciones, umbrales de aplicabilidad, plazos de respuesta y obligaciones.

Estas diferencias no son meramente teóricas. Determinan si una empresa concreta está obligada a cumplir con la normativa, cuál será la carga operativa que ello supone, qué categorías de datos deben protegerse y cómo debe responder la empresa a las solicitudes relacionadas con los derechos de los consumidores. Para las organizaciones que operan en varios estados —lo que, en la era del comercio electrónico, significa la mayoría de las organizaciones de cierta envergadura—, esta divergencia se traduce en una complejidad operativa tangible.

La ausencia de una ley federal de protección de datos es la principal causa de esta fragmentación. A pesar del interés constante en el Capitolio, las discrepancias sobre la prevalencia de la legislación federal frente a las leyes estatales y sobre si se debe incluir un derecho de acción privado han bloqueado en repetidas ocasiones los esfuerzos legislativos^.³ Ante la falta de legislación federal, los estados siguen llenando ese vacío, y el mosaico normativo continúa expandiéndose.

III. California: el estado con mayor impacto

California sigue siendo la jurisdicción con mayor influencia en la legislación estadounidense sobre privacidad. Aplica algunos de los requisitos más estrictos del país, y su legislación incluye varias características que ningún otro estado ha imitado.

Un umbral de ingresos independiente. California es el único estado cuya ley de protección de la privacidad del consumidor se aplica en función de un umbral de ingresos brutos anuales independiente. En virtud de la CPRA, una empresa está sujeta a la ley si sus ingresos brutos anuales superan los 26 625 000 dólares, una cifra que la Agencia de Protección de la Privacidad de California («CPPA») ha ajustado a la inflación a partir del umbral original de 25 millones de dólares.⁴ Es fundamental señalar que este criterio de ingresos se aplica independientemente del volumen de información personal de los residentes de California que se maneje en los procesos de la empresa. El efecto práctico es que muchas empresas de negocio a negocio, firmas de servicios profesionales y otras organizaciones que no se dirigen directamente al consumidor quedan incluidas en el ámbito de aplicación únicamente en virtud de sus ingresos, incluso si recopilan o tratan de otro modo una cantidad mínima de datos de los consumidores.
Cobertura de datos laborales y B2B. La mayoría de las leyes estatales de protección de datos limitan sus protecciones a los «consumidores», definidos de forma restrictiva como personas físicas que actúan a título personal o en el ámbito doméstico, lo que significa que las personas que actúan en un contexto comercial o laboral suelen quedar excluidas de dicha cobertura. En consecuencia, los contactos entre empresas, los empleados y los solicitantes de empleo suelen quedar fuera del ámbito de aplicación de estas leyes, a menos que se aplique una excepción específica. Por el contrario, California adopta un enfoque más amplio, aplicando su ley a la información personal recopilada de o sobre empleados, solicitantes de empleo, contratistas independientes y representantes y contactos comerciales que residen en ese estado.⁵ Esto amplía drásticamente las obligaciones de cumplimiento para los departamentos de recursos humanos, las funciones de contratación y los equipos de ventas y desarrollo empresarial, en particular para las empresas nacionales que superan el umbral de ingresos de California.
La paradoja de los datos sensibles. Una de las características más contrarias a lo que cabría esperar de la CPRA es su tratamiento de la información personal sensible. La mayoría de las demás leyes estatales sobre privacidad del consumidor exigen a las empresas obtener un consentimiento expreso previo antes de tratar datos sensibles, como identificadores biométricos, geolocalización precisa, datos relacionados con la salud o médicos, o información sobre el origen racial o étnico, entre otros elementos de datos sensibles^.⁶ California, por el contrario, no exige un consentimiento expreso previo. En su lugar, la CPRA restringe a las empresas el uso o la divulgación de «información personal sensible» más allá de los fines específicamente enumerados en la ley, y otorga a los consumidores el derecho a limitar dicho uso.^⁷ En este aspecto concreto, California es sorprendentemente menos estricta que la mayoría de sus homólogos. Sin embargo, en casi todos los demás aspectos —mecanismos de aplicación, umbrales de aplicabilidad, el alcance de los derechos de los consumidores y el ámbito de los datos cubiertos—, California sigue siendo el estado más complejo y exigente desde el punto de vista operativo en materia de cumplimiento de la privacidad.

Para cualquier organización que esté evaluando o elaborando un programa de protección de datos, comprender el alcance total de los requisitos de California es un primer paso fundamental.

IV. Situación de partida: el modelo de Virginia y sus variantes

Fuera de California, muchos estados han basado sus leyes integrales de protección de la privacidad en la Ley de Protección de Datos del Consumidor de Virginia («VCDPA»), que entró en vigor el 1 de enero de 2023.^⁸ Estos estados «de referencia», entre los que se incluyen Indiana, Kentucky, Tennessee, Texas, Nebraska y Rhode Island, entre otros, suelen compartir una estructura común.

El modelo básico suele ofrecer a los consumidores:

Derechos de acceso, supresión, rectificación y portabilidad de sus datos personales;
Derechos a oponerse a: (i) la venta de datos personales; (ii) el tratamiento de datos personales con fines de publicidad personalizada; y (iii) en algunos estados, determinadas formas de elaboración de perfiles; y
La obligación de que los responsables del tratamiento realicen evaluaciones de protección de datos para las actividades de tratamiento de alto riesgo.

Esta arquitectura común da una apariencia de uniformidad. Sin embargo, en la práctica, incluso estas leyes, que a primera vista parecen similares, encierran diferencias que plantean verdaderos retos en materia de cumplimiento. Las distinciones suelen encontrarse en los detalles: en cómo define cada estado los términos clave, dónde establece los umbrales de aplicabilidad, qué exenciones concede y cómo estructura la aplicación de la ley. En los apartados siguientes se destacan las diferencias más relevantes.

V. Principales diferencias entre las leyes estatales de protección de datos

(a)La definición de «venta»

La definición de «venta» es una de las variables más trascendentales en el panorama normativo estatal en materia de privacidad. La CPRA de California define «vender» como la divulgación de información personal a cambio de una «contraprestación valiosa», una formulación lo suficientemente amplia como para abarcar intercambios en los que no se produce un intercambio de dinero.⁹ Según esta definición, actividades como las integraciones de análisis de terceros, las cookies de segmentación, las herramientas de publicidad basadas en píxeles y la publicidad conductual entre contextos pueden constituir una «venta», lo que da lugar a obligaciones específicas de divulgación y derechos de exclusión voluntaria.

Sin embargo, otros estados —entre ellos Virginia e Indiana— definen el término «venta» de forma más restrictiva, exigiendo que el intercambio implique una contraprestación económica.¹⁰ Esta simple diferencia en la definición puede alterar drásticamente la estrategia de cumplimiento de una empresa en lo que respecta a las cookies, los píxeles de seguimiento, las herramientas de análisis y la tecnología publicitaria. Una práctica que constituya una «venta» según la legislación de California —que exige mecanismos de exclusión voluntaria bien visibles— puede quedar totalmente fuera del ámbito de aplicación de las disposiciones sobre venta de un estado con una definición más restrictiva.

b)Umbrales de aplicabilidad

Los estados difieren considerablemente en cuanto al ámbito de aplicación de sus leyes de protección de datos:

California aplica su legislación basándose en un umbral anual independiente de ingresos brutos de 26 625 000 dólares, independientemente del volumen de datos de los consumidores.
Texas y Nebraska no establecen ningún umbral numérico en cuanto al número de consumidores. Si una empresa opera en el estado y no cumple los requisitos para ser considerada una «pequeña empresa» según las definiciones federales aplicables, la ley le es de aplicación.¹¹
La mayoría de los demás estados utilizan umbrales basados en el número de consumidores, pero estos varían considerablemente: desde tan solo 35 000 habitantes hasta 175 000.
Connecticut destaca especialmente: a partir del 1 de julio de 2026, su umbral modificado será lo suficientemente bajo como para que muchas empresas que actualmente quedan fuera de su ámbito de aplicación cumplan inesperadamente los requisitos.¹²

Estas diferencias en los umbrales implican que el análisis de aplicabilidad de una empresa no puede realizarse una sola vez y aplicarse de manera universal. Debe llevarse a cabo estado por estado.

c)Exenciones

Las diferencias en las exenciones se encuentran entre las fuentes de complejidad más relevantes desde el punto de vista operativo —y las que con mayor frecuencia se pasan por alto— en el cumplimiento de la normativa de privacidad en varios estados. Esto es especialmente cierto en el caso de las empresas de servicios financieros, las organizaciones sanitarias y las empresas de servicios públicos.

Entre las principales variaciones en materia de exenciones se incluyen:

Algunos estados eximen por completo a las entidades sujetas a la Ley Gramm-Leach-Bliley («GLBA»)¹³; otros eximen únicamente los datos sujetos a la GLBA, dejando a la propia entidad dentro del ámbito de aplicación en lo que respecta a los datos no cubiertos por la GLBA.
Algunos estados eximen a las empresas de servicios públicos reguladas, mientras que otros no lo hacen.
Algunos estados eximen a las organizaciones sin ánimo de lucro, mientras que otros las someten a todo el peso de la ley.

El resultado es que una empresa con operaciones idénticas en varios estados puede estar sujeta íntegramente a la legislación de un estado, estar parcialmente exenta de la de otro y quedar totalmente excluida de la de un tercero.

(d)Derechos de los consumidores y plazos de respuesta

Aunque los derechos fundamentales de los consumidores son, en líneas generales, similares en todos los estados, los plazos para responder a las solicitudes de los consumidores varían considerablemente. La mayoría de los estados exigen a los responsables del tratamiento que respondan a las solicitudes de los consumidores en un plazo de 45 días, pero varios establecen un plazo más breve de 30 días. California impone un requisito de acuse de recibo en un plazo de 10 días hábiles para todas las solicitudes, además de su plazo de respuesta sustantivo^.14 Los plazos de recurso —el período en el que un consumidor puede recurrir la denegación de una solicitud de derechos por parte del responsable del tratamiento— también difieren de un estado a otro.

Para las empresas que reciben un gran volumen de solicitudes relacionadas con los derechos de los consumidores, estas variaciones en los plazos suponen una verdadera complejidad operativa y aumentan el riesgo de incumplir la normativa sin darse cuenta.

(e)Variabilidad de los derechos sobre los datos

Ni siquiera los derechos fundamentales a la privacidad que figuran en la mayoría de las leyes estatales son verdaderamente universales. Por ejemplo:

En Iowa, los consumidores no tienen derecho a corregir datos personales inexactos.
En Utah no se exige a los responsables del tratamiento que ofrezcan el derecho a oponerse a la elaboración de perfiles.
Oregón y Minnesota exigen a los responsables del tratamiento que revelen los terceros concretos —y no solo las categorías de terceros— con los que comparten los datos de los consumidores.¹⁵

Estas variaciones pueden parecer insignificantes si se consideran por separado. Sin embargo, en su conjunto, influyen de manera significativa en el diseño de las comunicaciones dirigidas a los consumidores, los avisos de privacidad y los procesos de tramitación de solicitudes.

VI. Toma de decisiones automatizada y elaboración de perfiles

Un ámbito de creciente importancia —y que guarda una relación directa con el auge de la inteligencia artificial y las tecnologías de aprendizaje automático— es el tratamiento de la toma de decisiones automatizada («ADM») y la elaboración de perfiles en el marco de las leyes estatales sobre protección de la privacidad de los consumidores. Tal y como se destaca en los objetivos de aprendizaje de esta mesa redonda, comprender estas disposiciones es fundamental para cualquier organización que utilice herramientas algorítmicas que afecten a los consumidores.

Actualmente, varias leyes estatales de protección de datos otorgan a los consumidores el derecho a oponerse a la elaboración de perfiles que tenga efectos jurídicos o de importancia similar.¹⁶ Sin embargo, los detalles varían. Algunos estados definen el «perfilado» de manera amplia, de modo que abarca cualquier tratamiento automatizado utilizado para evaluar, analizar o predecir aspectos del comportamiento, las preferencias o las características de una persona. Otros limitan el derecho de oposición a la elaboración de perfiles que dé lugar a decisiones con consecuencias jurídicas, financieras o de importancia similar concretas.

La normativa de Colorado se encuentra entre las más detalladas en este ámbito, ya que establece requisitos específicos para las evaluaciones de protección de datos y la notificación a los consumidores cuando se utiliza la elaboración de perfiles en relación con decisiones que producen efectos jurídicos o de importancia similar.¹⁷ Connecticut también ha reforzado sus disposiciones sobre la toma de decisiones automatizada (ADM). A medida que los estados siguen perfeccionando sus marcos normativos, las empresas que utilizan herramientas basadas en la inteligencia artificial —como la suscripción automatizada, la personalización de contenidos, los algoritmos de publicidad dirigida y los modelos de detección de fraudes— deben esperar un mayor escrutinio sobre cómo esas herramientas interactúan con los derechos de los consumidores.

La conclusión práctica es que las empresas no pueden evaluar sus implementaciones de inteligencia artificial y aprendizaje automático al margen de sus obligaciones en materia de cumplimiento de la normativa de privacidad. La misma herramienta algorítmica que mejora la eficiencia operativa puede dar lugar a obligaciones de exclusión voluntaria de la elaboración de perfiles, requerir una evaluación de impacto sobre la protección de datos o exigir una mayor divulgación de información a los consumidores, dependiendo del estado.

VII. Regímenes de aplicación y tendencias

Para comprender las leyes estatales sobre privacidad también es necesario entender cómo se aplican, y en este aspecto, el panorama tampoco es en absoluto homogéneo.

Autoridad encargada de velar por el cumplimiento. La mayoría de las leyes estatales integrales en materia de privacidad otorgan la autoridad para velar por su cumplimiento al fiscal general del estado. California constituye una excepción notable: la CPRA creó la CPPA, un organismo regulador específico con autoridad independiente para elaborar normas y velar por su cumplimiento, el primero de este tipo en los Estados Unidos.¹⁸ La CPPA ha desarrollado una intensa actividad, promulgando reglamentos, llevando a cabo procedimientos públicos e iniciando acciones de cumplimiento. En los estados que carecen de un organismo específico, la oficina del fiscal general actúa tanto como regulador como ejecutor, con distintos niveles de recursos y de interés por la aplicación de la ley en materia de privacidad.
Plazos de subsanación. Muchas de las primeras leyes estatales sobre privacidad incluían plazos de subsanación obligatorios —por lo general, de 30 días— durante los cuales las empresas podían subsanar las presuntas infracciones antes de enfrentarse a medidas coercitivas. Sin embargo, varios estados han dejado que sus plazos de subsanación caduquen o los han eliminado por completo.¹⁹ Colorado, Connecticut y Virginia incluyeron inicialmente plazos de subsanación que, desde entonces, han expirado o han pasado a ser de carácter discrecional. La tendencia se inclina hacia una aplicación más estricta de la ley sin una oportunidad garantizada de subsanación.
Derechos de acción privados. La gran mayoría de las leyes estatales sobre privacidad del consumidor no otorgan a los consumidores un derecho de acción privado; su aplicación se limita al fiscal general o al organismo regulador competente. California es la principal excepción, ya que ofrece un derecho de acción privado limitado para las violaciones de datos derivadas del incumplimiento por parte de una empresa de la obligación de implementar medidas de seguridad razonables.²⁰ La ley My Health My Data Act de Washington también ofrece un derecho de acción privado para las infracciones relacionadas con los datos de salud de los consumidores.²¹ La disponibilidad (o ausencia) de derechos de ejecución privados afecta significativamente a la exposición a litigios y, en consecuencia, debería influir en la evaluación de riesgos de una empresa.
Medidas coercitivas adoptadas hasta la fecha. Las autoridades reguladoras estatales ya han comenzado a ejercer su competencia en materia de cumplimiento. La CPPA y la Fiscalía General de California han emprendido acciones contra empresas por presuntos incumplimientos en el respeto de las solicitudes de exclusión voluntaria, la facilitación de avisos de privacidad adecuados y el cumplimiento de los requisitos de minimización de datos. Las fiscalías generales de otros estados también han manifestado una creciente disposición a investigar y actuar. Las empresas deben considerar el actual entorno de aplicación de la normativa como el punto de partida, y no como el límite máximo, de la actividad reguladora.

VIII. Enfoques de cumplimiento: «Race to the Top» frente a «específico para cada estado por diseño»

Con veinte leyes estatales sobre protección de la privacidad de los consumidores actualmente en vigor, las empresas se enfrentan a una cuestión estratégica fundamental: cómo estructurar un programa de cumplimiento que aborde múltiples requisitos legales que, aunque se solapan, no son idénticos. Han surgido dos modelos contrapuestos.

(a)Enfoque uno: «Race to the Top» (modelo único para todos)

Según este enfoque, una empresa identifica el requisito más estricto de entre todas las leyes estatales aplicables en materia de privacidad del consumidor —ya sea en lo que se refiere a los derechos de los consumidores, los plazos de respuesta, el tratamiento de datos sensibles o las obligaciones de exclusión voluntaria— y lo aplica de manera generalizada a todos los consumidores, independientemente de su estado de residencia.

En resumen: el enfoque de «carrera hacia la cima» sacrifica la simplicidad operativa a cambio del riesgo de un cumplimiento excesivo. Este enfoque funciona mejor para las organizaciones que dan prioridad a la uniformidad y cuentan con los recursos necesarios para cumplir con los estándares más exigentes en todos los ámbitos. Simplifica la formación, reduce el riesgo de que los empleados apliquen una norma incorrecta, fomenta la coherencia entre los distintos sistemas y ofrece cierta garantía de futuro a medida que nuevos estados promulgan leyes. Sin embargo, conlleva riesgos reales. Ampliar voluntariamente los derechos al nivel de California a los consumidores de estados con leyes menos exigentes puede generar un riesgo de incumplimiento si la empresa no cumple con esos estándares autoimpuestos. Y para ciertas obligaciones —como el consentimiento universal de participación para los datos de salud en virtud de la Ley «My Health My Data» de Washington— la aplicación generalizada puede resultar poco práctica o comercialmente insostenible.

(b)Enfoque dos: «Diseñado específicamente para cada estado» (específico para cada jurisdicción)

Con este enfoque, una empresa crea flujos de trabajo específicos para cada estado —a menudo con el apoyo de herramientas de geolocalización— para aplicar los requisitos legales concretos de cada estado a los consumidores que residen en él.

En resumen: el enfoque específico por jurisdicción cambia la complejidad operativa por precisión y flexibilidad. Resulta muy adecuado para organizaciones de sectores regulados —servicios financieros, atención sanitaria y empresas con un uso intensivo de datos— en los que un cumplimiento excesivo puede acarrear costes comerciales reales o en los que las exenciones específicas de cada estado ofrecen un alivio significativo. Evita obligaciones innecesarias y permite a las empresas adaptar sus programas al entorno normativo que realmente les es aplicable. Por otro lado, este enfoque exige una lógica de ramificación en los sistemas tecnológicos, una formación rigurosa y una supervisión interna, así como un seguimiento continuo de la evolución jurídica. Los reguladores también pueden considerar la inconsistencia entre jurisdicciones como una señal de alarma si los programas no se documentan y aplican cuidadosamente.

(c)Encontrar un término medio

En la práctica, la mayoría de las empresas adoptarán un enfoque híbrido que aproveche las ventajas de ambos modelos. Un marco común podría aplicar un conjunto uniforme de derechos del consumidor en la mayoría de los estados —respetando los derechos más amplios de acceso, supresión y exclusión voluntaria, independientemente de la jurisdicción— e introducir modificaciones específicas de cada estado solo cuando los requisitos legales difieran de manera sustancial. Un único aviso de privacidad con anexos específicos para cada jurisdicción, por ejemplo, puede proporcionar coherencia sin el caos que suponen los programas totalmente fragmentados. Este modelo híbrido permite a las empresas reducir el exceso de cumplimiento en los estados con requisitos más restrictivos, al tiempo que mantiene la simplicidad operativa necesaria para ampliar un programa de privacidad a todo el país.

IX. Conclusiones prácticas para las empresas

Como se destaca en los objetivos de aprendizaje de este panel, comprender la legislación es solo una parte del reto. Poner en práctica un programa de cumplimiento normativo en más de veinte jurisdicciones requiere una planificación práctica. Las siguientes conclusiones tienen por objeto salvar la brecha entre el análisis jurídico y la ejecución diaria.

Realice una evaluación exhaustiva de la aplicabilidad. No dé por sentado que un único análisis de aplicabilidad abarca todos los estados. Dado que los umbrales, las exenciones y las definiciones varían, una empresa puede estar sujeta a la normativa en un estado y quedar exenta en otro. Esta evaluación debe revisarse al menos una vez al año, ya que los estados siguen modificando sus leyes y ajustando sus umbrales.
Realice un mapeo de sus flujos de datos. Comprender qué datos personales recopila la organización, de quién, hacia dónde fluyen y con quién se comparten es un requisito previo para cumplir con cualquier ley estatal de protección de datos. El mapeo de datos también sirve de apoyo para las evaluaciones de protección de datos, que cada vez más estados exigen para las actividades de tratamiento de alto riesgo.
Evalúe su modelo de cumplimiento de forma deliberada. Tanto si una empresa opta por un modelo de «carrera hacia la excelencia», un enfoque específico para cada jurisdicción o una opción híbrida, la decisión debe tomarse de forma deliberada, no por defecto. El modelo adecuado depende de las operaciones, los sistemas, la tolerancia al riesgo, el sector, las prácticas en materia de datos y los recursos internos de la empresa.
Preste especial atención a los datos sensibles. Dado que los estados definen los «datos sensibles» de forma diferente e imponen requisitos de consentimiento divergentes —consentimiento expreso en la mayoría de los estados, limitación del uso en California—, las empresas deben comprender exactamente qué datos de los que tratan entran en la categoría de «sensibles» y cómo los regula cada estado correspondiente.
Incorporar la elaboración de perfiles y el cumplimiento de las normas sobre toma de decisiones automatizada (ADM) en la gobernanza de la IA. Las empresas que implementen herramientas de IA y aprendizaje automático deben evaluar dichas herramientas a la luz de las disposiciones de cada estado en materia de elaboración de perfiles y toma de decisiones automatizada. A medida que los reguladores prestan cada vez más atención a la responsabilidad de los algoritmos, la intersección entre la legislación sobre privacidad y la gobernanza de la IA cobrará aún más importancia.
Seguir de cerca las tendencias en materia de cumplimiento normativo. El panorama normativo está evolucionando rápidamente. Las empresas deben estar al tanto de las directrices normativas, las medidas de cumplimiento y la evolución de los litigios, ya que constituyen indicadores adelantados de las expectativas normativas. Invertir desde el principio en el seguimiento de estos aspectos reporta beneficios en forma de una reducción del riesgo de incumplimiento.
Invertir en formación. La complejidad del cumplimiento normativo en materia de privacidad en distintos estados hace que la formación de los empleados sea esencial. Tanto si una empresa adopta un modelo uniforme como uno específico para cada jurisdicción, el personal de primera línea —desde los representantes de atención al cliente hasta los equipos de marketing y los profesionales de recursos humanos— debe comprender sus obligaciones y saber cómo cumplirlas correctamente.
Revisar y actualizar. El cumplimiento de la normativa de privacidad no es un proyecto puntual. Con la entrada en vigor de nuevas leyes, la modificación de las ya existentes, la expiración de los plazos de regularización y la intensificación de las medidas de control, las empresas deben considerar sus programas de privacidad como marcos dinámicos que requieren una atención constante.

X. Conclusión

El panorama de la protección de la privacidad de los consumidores en los distintos estados de EE. UU. ha alcanzado un nivel de complejidad que exige una atención constante y deliberada por parte de todas las organizaciones que recopilan datos personales. Es fundamental comprender los umbrales, las definiciones, las exenciones, los derechos de los consumidores y los mecanismos de aplicación específicos de cada estado. Sin embargo, elegir el enfoque de cumplimiento adecuado —y ponerlo en práctica de manera eficaz— es igualmente importante.

Independientemente de si una organización se decanta por una estrategia única para todos, un enfoque específico para cada jurisdicción o un modelo híbrido, es fundamental contar con una planificación minuciosa y una ejecución coherente. Las conclusiones prácticas expuestas anteriormente tienen por objeto ayudar a los asistentes a esta mesa redonda a traducir el panorama jurídico en medidas concretas de cumplimiento normativo. A medida que los estados sigan legislando y los organismos reguladores continúen haciendo cumplir la normativa, las empresas que inviertan en comprender y poner en práctica estos marcos normativos estarán en una posición óptima para gestionar el riesgo y generar confianza entre los consumidores a los que prestan servicio.

Para más información, los profesionales pueden consultar la tabla comparativa de las leyes estatales de EE. UU. sobre la privacidad de los datos de los consumidores elaborada por Foley & Lardner LLP, disponible en https://www.foley.com/insights/‌publications/2026/01/us-state-consumer-data-privacy-laws/.

[1] Código Civil de California, art. 1798.100 y ss. Para facilitar la lectura, la CCPA y la CPRA se denominan conjuntamente «CPRA».

[2] A fecha de publicación de este artículo, se han promulgado leyes estatales exhaustivas en materia de protección de la privacidad de los consumidores en, entre otros, California, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Texas, Montana, Oregón, Delaware, Nuevo Hampshire, Nueva Jersey, Nebraska, Kentucky, Maryland, Minnesota y Rhode Island.

[3] Véase, por ejemplo, la Ley de Privacidad y Protección de Datos de Estados Unidos, H.R. 8152, 117.º Congreso (2022) (aprobada en comisión, pero no sometida a votación en el pleno).

[4] Código Civil de California, art. 1798.140(d)(1)(A); Código de Regulaciones de California, título 11, art. 7001(d) (umbral ajustado a la inflación).

[5] Código Civil de California, art. 1798.140, apartados c) 1) y 2).

[6] Véase, por ejemplo, Código Anotado de Virginia, art. 59.1-578(A)(5); Estatutos Revisados de Colorado, art. 6-1-1308(7); Estatutos Generales de Connecticut, art. 42-520(a)(5).

[7] Código Civil de California, artículo 1798.121(a).

[8] Código Anotado de Virginia, §§ 59.1-575 a 59.1-585. Otros estados de referencia son, entre otros, Indiana (Código de Indiana, §§ 24-15-1-1 a 24-15-14-1), Kentucky (Estatutos Revisados de Kentucky, §§ 367.400–367.499), Tennessee (Código de Tennessee, §§ 47-18-3301 a 47-18-3313), Texas (Código de Negocios & Com. §§ 541.001–541.205), Nebraska (Neb. Rev. Stat. §§ 87-1101 a 87-1116) y Rhode Island (R.I. Gen. Laws §§ 6-48.1-1 a 6-48.1-16).

[9] Código Civil de California, artículo 1798.140(ad)(1).

[10] Véase el Código Anotado de Virginia, art. 59.1-575 (que define la «venta de datos personales» como el intercambio de datos personales «a cambio de una contraprestación económica» por parte de un responsable del tratamiento a un tercero); Código de Indiana, art. 24-15-2-17 (lo mismo).

[11] Código de Negocios y Comercio de Texas, art. 541.002(a); Código Revisado de Nebraska, art. 87-1103

[12] Código General de Connecticut, art. 42-516(a) (en su versión modificada, con entrada en vigor el 1 de julio de 2026).

[13] 15 U.S.C. §§ 6801–6809

[14] Código Civil de California, artículo 1798.130(a)(1).

[15] Véase el Código de Iowa, cap. 715D (que omite el derecho a la rectificación); Código Anotado de Utah, §§ 13-61-101 a 13-61-404 (que omite el derecho a excluirse de la elaboración de perfiles); Or. Rev. Stat. § 646A.578(1)(d) (que exige la divulgación de terceros específicos); Minn. Stat. § 325O.07, subapartado 1 (similar).

[16] Véase, por ejemplo, Colo. Rev. Stat. § 6-1-1306(1)(a)(IV); Conn. Gen. Stat. § 42-520(a)(6); Va. Code Ann. § 59.1-577(A)(5).

[17] Código de Regulaciones de Colorado, título 4, § 904-3, normas 7 y 8.

[18] Código Civil de California, artículo 1798.199.10.

[19] Véase, por ejemplo, Código Anotado de Virginia, art. 59.1-584(B) (plazo de subsanación de 30 días); Estatutos Revisados de Colorado, art. 6-1-1311 (el plazo de subsanación expira el 1 de enero de 2025).

[20] Código Civil de California, artículo 1798.150(a)(1).

[21] Código Revisado de Washington, artículos 19.373.005 a 19.373.900.

Descargo de responsabilidad

Este blog ha sido creado por Foley & Lardner LLP («Foley» o «la Firma») con fines meramente informativos. No pretende transmitir la posición legal de la Firma en nombre de ningún cliente, ni tampoco pretende ofrecer asesoramiento legal específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. Por lo tanto, no actúe basándose en esta información sin consultar primero con un abogado colegiado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entradas de blog o cualquier otro medio no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que transmita a Foley a través de este blog, ya sea por correo electrónico, publicación en el blog o cualquier otro medio, no se tratará como confidencial o privado. La información de este blog se publica «TAL CUAL» y no se garantiza que sea completa, precisa o actualizada. Foley no ofrece ninguna garantía, expresa o implícita, en cuanto al funcionamiento o el contenido del sitio. Foley renuncia expresamente a todas las demás garantías, condiciones y declaraciones de cualquier tipo, ya sean expresas o implícitas, ya sea que surjan en virtud de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, título y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, en virtud de cualquier teoría jurídica (contrato, agravio, negligencia o de otro tipo), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto, especial, incidental, punitivo o consecuente, que resulte o se derive de la creación, el uso o la confianza en este sitio (incluida la información y otros contenidos) o en cualquier sitio web de terceros o en la información, los recursos o el material a los que se acceda a través de dichos sitios web. En algunas jurisdicciones, el contenido de este blog puede considerarse publicidad de abogados. Si procede, tenga en cuenta que los resultados anteriores no garantizan un resultado similar. Las fotografías tienen fines meramente dramáticos y pueden incluir modelos. Las semejanzas no implican necesariamente la condición actual de cliente, socio o empleado.

Búsquedas populares