Connecticut amplía drásticamente su ley de protección de datos: lo que las empresas deben saber ahora mismo
Connecticut ha ampliado y endurecido considerablemente su legislación en materia de privacidad del consumidor. En virtud del proyecto de ley del Senado n.º 1295 (Ley Pública 25-113), el 1 de julio de 2026 entraron en vigor modificaciones de gran alcance de la Ley de Privacidad de Datos de Connecticut (CTDPA), a las que seguirá, el 1 de agosto de 2026, una obligación clave: una nueva evaluación del impacto de la elaboración de perfiles. Las modificaciones amplían el ámbito de aplicación de la ley, amplían el tipo de datos que esta protege e introducen nuevas obligaciones en materia de elaboración de perfiles, inteligencia artificial, datos de menores y divulgación de información sobre privacidad. Para muchas empresas, la conclusión es sencilla: es posible que ahora estén sujetas a la ley aunque nunca lo hayan estado antes.
¿Quiénes tienen ahora cobertura?
A partir del 1 de julio de 2026, la CTDPA se aplica a cualquier entidad que desarrolle su actividad en Connecticut, o que dirija sus productos o servicios a residentes de Connecticut, y que durante el año natural anterior cumpliera cualquiera de los siguientes requisitos:
- Haber gestionado o tratado los datos personales de al menos 35 000 consumidores (cifra reducida de 100 000), excluyendo los datos tratados con el único fin de completar una transacción de pago;
- Haya gestionado o tratado datos sensibles de los consumidores, independientemente del volumen; o
- Puso a la venta datos personales de los consumidores con fines comerciales, independientemente del volumen.
Se ha eliminado el umbral anterior, vinculado a la obtención de al menos el 25 % de los ingresos brutos a partir de la venta de datos personales. Dado que el segundo y el tercer criterio de aplicación no incluyen ningún umbral numérico, cualquier empresa que trate datos sensibles u ofrezca datos personales a la venta puede ahora entrar en el ámbito de aplicación de la CTDPA, incluso si se trata de una empresa muy pequeña.
¿Qué se considera «datos sensibles» según la CTDPA?
Tu empresa queda incluida si, durante el último año, ha recopilado o tratado cualquiera de los siguientes datos, independientemente del número de residentes de Connecticut que hayan estado implicados:
| – Datos que revelen el origen racial o étnico – Datos que revelen creencias religiosas – Datos que revelen una afección de salud mental o física, un diagnóstico, una discapacidad o un tratamiento – Datos que revelen la vida sexual, la orientación sexual o la condición de persona no binaria o transgénero – Datos que revelen la ciudadanía o la situación migratoria – Datos sobre la salud de los consumidores – Datos genéticos o biométricos, o información derivada de los mismos – Datos de geolocalización precisos | – Datos personales recabados de un menor cuya identidad se conoce o se ha ignorado deliberadamente – Datos relativos a la condición de una persona como víctima de un delito – Datos neuronales – Números de cuentas financieras, credenciales de inicio de sesión o números de tarjetas de crédito o débito que, combinados con cualquier código de acceso o contraseña necesarios, permitirían el acceso a una cuenta financiera – Números de identificación emitidos por el Gobierno (por ejemplo, números de la Seguridad Social, números de pasaporte, números de documento de identidad estatal o de permiso de conducir) |
¿Qué se considera una «venta»?
El concepto de «venta» es más amplio de lo que muchas empresas creen. Según la CTDPA, una «venta» incluye compartir, transferir o revelar datos personales a un tercero a cambio de una contraprestación de valor (además del dinero), por lo que muchas prácticas cotidianas pueden entrar en esta definición, entre ellas:
- instalar cookies de seguimiento de redes publicitarias para mostrar posteriormente anuncios personalizados;
- la incorporación de píxeles de seguimiento de terceros en una página de pago, lo que permite transferir identificadores únicos de dispositivos y el historial de navegación a una red publicitaria a cambio de información sobre el público objetivo y campañas publicitarias optimizadas;
- enviar datos de clientes a un proveedor cuyas condiciones le permitan utilizar tus datos para mejorar sus propios algoritmos o entrenar sus modelos de inteligencia artificial; y
- intercambiar datos de fidelización o listas de marketing por correo electrónico con una marca asociada para realizar promociones cruzadas, incluso sin que haya intercambio de dinero (entre otros ejemplos).
Qué ha cambiado y por qué es importante
A continuación se detallan las principales implicaciones operativas para las empresas afectadas por las últimas modificaciones de la CTDPA.
Reglas más sólidas de elaboración de perfiles y de toma de decisiones automatizada
El derecho de exclusión voluntaria abarca actualmente cualquier decisión automatizada que produzca un efecto jurídico o de importancia similar (no solo aquellas tomadas sin intervención humana) e incluye expresamente las decisiones tomadas «en nombre» de un responsable del tratamiento por parte de terceros o proveedores de servicios. Siempre que sea posible, los consumidores podrán cuestionar los resultados, recibir una explicación sobre cómo se ha llegado a una decisión, revisar los datos utilizados y —en contextos relacionados con la vivienda— corregir datos inexactos y solicitar una reevaluación.
Ampliación de los derechos de los consumidores
Los consumidores adquieren nuevos derechos relacionados con las decisiones de elaboración de perfiles contempladas en la normativa, así como un nuevo derecho a obtener una lista de los terceros a los que se han vendido sus datos personales. Los derechos de información y acceso incluyen ahora expresamente las inferencias y la información derivada de la elaboración de perfiles. Cabe destacar que los responsables del tratamiento no pueden facilitar determinadas categorías de datos de mayor riesgo (como los números de la Seguridad Social, ciertos datos financieros y elementos biométricos) en respuesta a una solicitud; solo se exige la confirmación de que se conservan dichos datos.
Mayor protección para los menores de 18 años
El rango de edad protegido pasa de 13-16 a 13-17, y ahora existe una prohibición general de la publicidad dirigida a este grupo de edad y de la venta de datos personales de los mismos, independientemente del consentimiento, cuando el responsable del tratamiento tenga conocimiento efectivo de que un consumidor tiene entre 13 y 17 años o ignore deliberadamente este hecho. Asimismo, se prohíbe a los responsables del tratamiento utilizar características de diseño que aumenten, mantengan o prolonguen el uso de un servicio en línea por parte de un menor, y deben realizar evaluaciones de impacto más exhaustivas en relación con los datos de los menores.
Requisitos actualizados del aviso de privacidad
Los avisos de privacidad deben indicar ahora si los datos personales se utilizan para entrenar modelos de lenguaje a gran escala (LLM), así como las prácticas de elaboración de perfiles y de publicidad dirigida. Se debe poder acceder a dichos avisos a través de un hipervínculo bien visible en la página de inicio que contenga la palabra «privacidad», disponible en todos los idiomas que utilice el responsable del tratamiento y accesible para las personas con discapacidad. Los cambios sustanciales con carácter retroactivo en las prácticas de tratamiento de datos requieren una notificación y la posibilidad de retirar el consentimiento.
Medidas más estrictas de minimización de datos y nuevas evaluaciones de impacto
La recogida de datos debe ser ahora razonablemente necesaria y proporcionada a los fines comunicados, y los nuevos usos secundarios de importancia requieren un nuevo consentimiento. Los responsables del tratamiento que elaboren perfiles de los consumidores para tomar decisiones con relevancia jurídica deberán realizar una evaluación de impacto específica (distinta de la evaluación de protección de datos ya existente) para las actividades de tratamiento creadas o generadas a partir del 1 de agosto de 2026.
Actualización de las funciones del interventor
El tratamiento de datos sensibles requiere ahora tanto una base «razonablemente necesaria» como el consentimiento, y se refuerzan las obligaciones en materia de lucha contra la discriminación para evitar un trato desigual e ilegal.
El resultado final
Connecticut ha pasado de una ley basada en umbrales —que afectaba principalmente a las grandes empresas— a un marco más amplio que puede abarcar a organizaciones más pequeñas, en particular aquellas que manejan datos sensibles, utilizan tecnología publicitaria y publicidad dirigida, comparten datos de formas que podrían considerarse una «venta» u ofrecen funciones en línea utilizadas por menores. Ahora que ha finalizado el plazo de regularización establecido por el Fiscal General de Connecticut y que la aplicación de la ley ya está en marcha, el coste de la espera ha aumentado. Las empresas que tengan algún vínculo con Connecticut deberían plantearse las siguientes medidas:
- Vuelve a evaluar si entras en el ámbito de aplicación. Dado que los datos sensibles y los criterios de venta contemplados en la CTDPA modificada no establecen ningún umbral de volumen, da por hecho que puedes estar incluido en el ámbito de aplicación hasta que se confirme lo contrario.
- Realiza un mapa de tus datos. Haz un inventario de los datos personales y sensibles que recopilas, cómo se utilizan y con quién se comparten, incluso a través de píxeles de seguimiento e intercambios de listas.
- Actualizar los avisos de privacidad y los procesos de consentimiento. Informar sobre la elaboración de perfiles, la publicidad personalizada y cualquier uso de datos personales para entrenar modelos de lenguaje grandes (LLM), y garantizar que los avisos sean visibles, estén disponibles en varios idiomas y sean accesibles.
- Revisa los perfiles y la toma de decisiones automatizada. Establece procesos que cumplan con la normativa para atender las solicitudes de exclusión voluntaria, proporcionar explicaciones sobre cómo se han tomado las decisiones y completar la nueva evaluación de impacto para las actividades realizadas a partir del 1 de agosto de 2026.
- Reforzar las medidas de protección de los menores. Poner fin a la publicidad dirigida a personas de entre 13 y 17 años y a la venta de sus datos personales, y eliminar las funciones de diseño destinadas a maximizar la participación.
Si no está seguro de si la versión modificada de la CTDPA se aplica ahora a su empresa —o de cómo subsanar las deficiencias—, nuestros abogados especializados en protección de datos y ciberseguridad pueden ayudarle a evaluar sus obligaciones de cumplimiento y a trazar una estrategia práctica para el futuro. Póngase en contacto con un miembro de nuestro equipo para iniciar la conversación.