Podcast sobre privacidad, episodio tres: Estado de confusión: cómo orientarse en el laberinto de la legislación estadounidense sobre privacidad

Puntos clave

• El cumplimiento de la normativa de privacidad en EE. UU. se ha vuelto mucho más complejo debido al rápido crecimiento de las leyes estatales de privacidad del consumidor, cada una con umbrales, exenciones, derechos y definiciones únicos.
• California sigue siendo el estado más estricto y con mayor impacto operativo, especialmente porque regula los datos entre empresas y los datos de los empleados, a diferencia de la mayoría de los demás estados.
• Muchos estados siguen patrones similares, pero hay diferencias importantes, como la definición de «venta», los umbrales de aplicabilidad y el tratamiento de los datos sensibles, que afectan mucho a los programas de cumplimiento.
• Han surgido dos enfoques contrapuestos: el modelo «Race to the Top» (único para todos) y el marco «Different Strokes» (específico para cada jurisdicción). La mayoría de las empresas se situarán en algún punto intermedio entre ambos.
• Incluso el cumplimiento perfecto de las leyes estatales de privacidad no protege a las empresas de los riesgos de litigios en virtud de leyes más antiguas y reutilizadas, como la Ley de Invasión de la Privacidad de California (CIPA) y la Ley de Protección de la Privacidad en los Vídeos (VPPA).
• Las organizaciones deben revisar sus prácticas de seguimiento de sitios web, estrategias de consentimiento de cookies, contratos con proveedores y cláusulas de arbitraje para reducir la exposición a estas amenazas ajenas a la legislación sobre privacidad.
• El panorama de la privacidad sigue evolucionando rápidamente, y las empresas deben supervisar continuamente los avances, actualizar los procesos internos y perfeccionar las estrategias de cumplimiento.
• Enlace a portada con la tabla comparativa de Foley sobre las leyes estatales de protección de datos de los consumidores en EE. UU.:https://www.foley.com/insights/publications/2026/01/us-state-consumer-data-privacy-laws/

• Enlace a la tabla comparativa de Foley sobre las leyes estatales estadounidenses en materia de privacidad de los datos de los consumidores: https://www.foley.com/wp-content/uploads/2026/01/U.S.-State-Comprehensive-Consumer-Privacy-Law-Comparison-Chart_V16.pdf

   

Introducción

Si usted es una empresa que opera actualmente en los Estados Unidos, se encuentra navegando por uno de los entornos normativos de privacidad más complejos del mundo. A diferencia de la Unión Europea, que cuenta con un marco único y completo en materia de privacidad en el Reglamento General de Protección de Datos (RGPD), Estados Unidos no tiene una ley federal de privacidad que regule la recopilación y el uso de la información personal. En su lugar, los estados han tomado la iniciativa, creando un mosaico de normas en rápido crecimiento y a menudo contradictorias que pueden plantear retos de cumplimiento incluso para empresas sofisticadas con sólidas prácticas de privacidad.

En el episodio «En estado de confusión: navegando por el laberinto de la legislación estadounidense sobre privacidad» del podcast sobre privacidad de Foley & Lardner, los abogados Sam Goldstick y Alex Misakian, del Grupo de Práctica de Transacciones Tecnológicas, Ciberseguridad y Privacidad de Foley, desentrañaron este laberinto con claridad, humor y conocimientos prácticos. Su debate abarcó la evolución de las leyes estatales de privacidad, los matices que las distinguen y las decisiones operativas que deben tomar las empresas para seguir cumpliendo con la normativa. También exploraron por qué, incluso cuando las empresas «respetan la privacidad», siguen siendo vulnerables a demandas judiciales en virtud de leyes más antiguas que preceden a la internet moderna.

El auge del régimen de privacidad basado en el Estado

Cuando el RGPD entró en vigor en 2018, redefinió las expectativas mundiales en materia de protección de datos. Ese mismo año, California aprobó la Ley de Privacidad del Consumidor de California (CCPA),la primera ley integral de privacidad del consumidor en los Estados Unidos, que posteriormente se modificó y amplió para convertirse en la Ley de Derechos de Privacidad de California (CPRA). La ley de California marcó la pauta y, en los años siguientes, más de 20 estados adicionales promulgaron sus propias leyes de privacidad.

Como señaló Goldstick, el panorama actual de la privacidad en Estados Unidos se caracteriza por similitudes en la superficie, pero divergencias en los detalles. Todas estas leyes otorgan ciertos derechos a los consumidores, como el derecho a acceder a los datos personales y el derecho a eliminarlos, pero aplican estos derechos de manera diferente. Cada estado utiliza sus propias definiciones, exenciones, umbrales de aplicabilidad, plazos y obligaciones.

Esta divergencia no es meramente académica. Determina si su empresa debe cumplir con la normativa, cuán oneroso será el cumplimiento desde el punto de vista operativo, qué datos deben protegerse y cómo deben responder las empresas a las solicitudes de los consumidores.

A pesar de los llamamientos a favor de una ley federal de privacidad, los desacuerdos sobre la prevalencia y los derechos privados de acción han frenado el progreso en el Congreso. En ausencia de una legislación federal, los estados continúan llenando el vacío.

California: el estado más influyente de Estados Unidos

California sigue siendo el peso pesado en materia de legislación sobre privacidad en Estados Unidos. Aplica algunos de los requisitos más estrictos e incluye varias características que otros estados no tienen.

Un umbral de ingresos independiente

California es el único estado cuya ley de privacidad se aplica cuando una empresa alcanza un umbral de ingresos independiente —26 625 000 dólares (ajustado a la inflación desde los 25 millones de dólares originales) en ingresos brutos anuales— independientemente de la cantidad de datos de consumidores que procese. Este umbral significa que muchas empresas business-to-business y organizaciones que no tratan directamente con consumidores están sujetas a la ley.

Cobertura de datos sobre empleo y B2B

La mayoría de los estados limitan sus leyes de privacidad del consumidor estrictamente a los «consumidores». California aplica su ley a:

• Empleados
• Solicitantes de empleo
• Contratistas
• Representantes/contactos comerciales

Esto amplía drásticamente las obligaciones de cumplimiento para los equipos de recursos humanos y las operaciones de ventas, especialmente para las empresas nacionales que cumplen el umbral de aplicabilidad de California.

Exclusión voluntaria frente a inclusión voluntaria para datos sensibles

Muchos estados exigen el consentimiento expreso para procesar datos sensibles. California, por el contrario, restringe en general a las empresas el uso o la divulgación de la «información personal sensible» de los residentes más allá de los fines específicamente enumerados en la CPRA (y no exige a las empresas afectadas que obtengan el consentimiento previo de las personas), lo que hace que la CPRA sea sorprendentemente menos estricta que la gran mayoría de las demás leyes estatales vigentes en materia de privacidad del consumidor en este aspecto. Sin embargo, en casi todos los demás aspectos —aplicación, umbrales, derechos y alcance— California sigue siendo el estado más complejo de cumplir.

Para cualquier empresa que evalúe su programa de cumplimiento de la normativa de privacidad, es fundamental comprender el impacto operativo que esto tiene en California.

Estados de referencia: el modelo de Virginia y sus variaciones

Fuera de California, muchos estados han promulgado leyes basadas en la Ley de Protección de Datos del Consumidor de Virginia (VCDPA). Estos «estados de referencia» incluyen:

• Virginia
• Indiana
• Kentucky
• Tennessee
• Texas
• Nebraska
• Isla Rhode

Estos estados de referencia suelen proporcionar:

• Derecho de acceso
• Derecho a suprimir
• Derecho a rectificar
• Derecho a la portabilidad
• Derecho a excluirse de las ventas
• Derecho a excluirse de la publicidad dirigida (o «compartir» según la CPRA)
• Derecho a optar por no participar en la elaboración de perfiles en determinados contextos.

Sin embargo, como explicó Misakian, incluso estos estados «similares» presentan diferencias que pueden plantear importantes retos en materia de cumplimiento normativo.

Diferencias clave entre las leyes estatales de privacidad

1. Definición de «venta»

Muchos estados adoptan la amplia definición de «venta» de California, que significa compartir datos personales a cambio de una «contraprestación valiosa», incluso si no se intercambia dinero. Según esta definición:

• Análisis de terceros
• Cookies de segmentación
• Herramientas publicitarias basadas en píxeles
• Publicidad conductual entre contextos

... puede considerarse una «venta», lo que requiere divulgaciones específicas y derechos de exclusión voluntaria.

Sin embargo, algunos estados, como Virginia e Indiana, adoptan una postura más restrictiva y exigen una contraprestación monetaria para que se produzca la venta.

Esta única diferencia en la definición puede alterar drásticamente las estrategias de cumplimiento normativo para las cookies, los píxeles y las herramientas de análisis.

2. Umbrales de aplicabilidad

Los estados difieren considerablemente en cuanto al momento en que se aplican sus leyes.

• California: Umbral de ingresos independientes.
• Texas y Nebraska: No hay umbrales numéricos; si usted realiza actividades comerciales en el estado y no es una pequeña empresa según las normas federales, la ley es aplicable.
• Otros: Umbrales de consumidores que oscilan entre 35 000 y 175 000 residentes.

Connecticut es especialmente notable: a partir del 1 de julio de 2026, su umbral es tan bajo que muchas empresas cumplirán los requisitos de forma inesperada.

3. Exenciones

Las diferencias en las exenciones crean importantes problemas de cumplimiento, especialmente para los servicios financieros, la sanidad y los servicios públicos.

Ejemplos:

• Algunos estados eximen por completo a las instituciones financieras cubiertas por la GLBA.
• Otros eximen únicamente los datos cubiertos por la GLBA, no a la entidad.
• Algunas empresas de servicios públicos están exentas, mientras que otras no.
• Algunas eximen a las organizaciones sin fines de lucro, mientras que otras las regulan.

Una empresa sujeta a la legislación de un estado puede estar exenta de la de otro, incluso si sus operaciones son idénticas.

4. Derechos del consumidor y plazos

Los plazos de respuesta también varían:

• Algunos estados exigen respuestas en un plazo de 45 días.
• Otros requieren 30 días.
• California exige un acuse de recibo en un plazo de 10 días en todos los casos.

Los plazos de apelación también varían, lo que supone una carga adicional para las empresas con un gran volumen de solicitudes.

5. Variabilidad de los derechos sobre los datos 

Incluso los derechos fundamentales a la privacidad difieren entre los distintos estados.

Ejemplos:

• Iowa no ofrece derecho de rectificación.
• Utah no exige la exclusión voluntaria para la elaboración de perfiles.
• Oregón y Minnesota exigen a las empresas que revelen los terceros específicos con los que comparten información.

Estas variaciones pueden parecer pequeñas, pero tienen un impacto significativo en las operaciones y las comunicaciones con los consumidores.

Enfoques de cumplimiento: modelos universales frente a modelos personalizados

Goldstick y Misakian debatieron sobre dos enfoques principales que pueden adoptar las empresas a la hora de crear programas de privacidad.

Ambos enfoques tienen puntos fuertes y débiles, y la mayoría de las organizaciones acabarán situándose en algún punto intermedio entre ambos.

Enfoque uno: «Carrera hacia la cima» 
(único para todos)

Este enfoque aplica los requisitos más estrictos de todos los estados aplicables a todos los consumidores, independientemente de su estado de residencia.

Ventajas

• Simplifica las operaciones internas.
• Reduce el riesgo de clasificación errónea.
• Promueve la coherencia entre los sistemas.
• Ayuda a prepararse para futuras leyes estatales.
• Permite a las empresas comercializar sólidas protecciones de privacidad.
• Crea un riesgo legal potencial:
  Al aplicar voluntariamente los derechos de California a todos los consumidores, las empresas pueden exponerse a medidas coercitivas si incumplen los plazos o gestionan incorrectamente las solicitudes de derechos.
• Puede imponer obligaciones innecesarias:
  Por ejemplo, tratar a todos los consumidores como si estuvieran sujetos a la ley My Health My Data Act de Washington requeriría el consentimiento universal para el uso de datos sanitarios, lo cual es muy poco práctico para muchas empresas.

Los empleados son menos propensos a aplicar la regla incorrecta porque solo hay una regla.

Desafíos

• Crea un riesgo legal potencial:
  Al aplicar voluntariamente los derechos de California a todos los consumidores, las empresas pueden exponerse a medidas coercitivas si incumplen los plazos o gestionan incorrectamente las solicitudes de derechos.
• Puede imponer obligaciones innecesarias:
  Por ejemplo, tratar a todos los consumidores como si estuvieran sujetos a la ley My Health My Data Act de Washington requeriría el consentimiento universal para el uso de datos sanitarios, lo cual es muy poco práctico para muchas empresas.

Enfoque dos: «Diferentes enfoques para diferentes personas» (específico para cada jurisdicción)

Este enfoque crea flujos de trabajo específicos para cada estado, a menudo con el apoyo de herramientas de geolocalización, para aplicar las normas adecuadas a los consumidores adecuados.

Ventajas

• Ofrece flexibilidad donde más importa.
• Evita el exceso de cumplimiento.
• Permite a las empresas de sectores regulados adaptar las normas a los requisitos específicos de cada estado.
• Reduce las cargas operativas en los estados con menos requisitos.

Este método funciona bien para organizaciones que necesitan preservar la agilidad empresarial, por ejemplo, empresas de servicios financieros y de atención médica, o empresas cuyo éxito depende en gran medida del análisis de datos.

Desafíos

• Más complejo desde el punto de vista operativo
• Requiere lógica de ramificación
• Mayor riesgo de errores por parte de los empleados o del sistema.
• Requiere una formación rigurosa y una supervisión interna.

Los reguladores también pueden percibir la inconsistencia entre jurisdicciones como una señal de alarma si los programas no se implementan con cuidado.

Encontrar el término medio

Como ambos coincidieron, la mayoría de las empresas adoptarán un enfoque híbrido.

Por ejemplo:

• Aplicar un conjunto uniforme de derechos en la mayoría de los estados.
• Pero adaptar las obligaciones a estados atípicos como Washington o Texas.
• Utilice un aviso de privacidad común con anexos.
• Introducir superposiciones específicas del estado solo cuando sea absolutamente necesario.
• Preservar la flexibilidad cuando tenga un impacto significativo en las operaciones comerciales.

Este enfoque reduce el exceso de cumplimiento y evita el caos operativo que provocan los programas totalmente fragmentados.

El hilo oculto: demandas judiciales no relacionadas con la ley de privacidad

Incluso el cumplimiento perfecto de las leyes estatales de privacidad no protege a las empresas de exponerse a una categoría de litigios totalmente independiente y en aumento: las reclamaciones en virtud de leyes antiguas que no se redactaron pensando en las tecnologías modernas.

Dos estatutos en particular se han convertido en los favoritos de los abogados de los demandantes.

La Ley de Invasión de la Privacidad de California (CIPA)

Promulgada originalmente en 1967 como ley sobre escuchas telefónicas, la CIPA nunca tuvo la intención de regular los píxeles, las cookies, los chatbots o la analítica web. Sin embargo, los demandantes ahora argumentan que:

• Cuando un sitio web utiliza herramientas de terceros como Meta Pixel
• Y esas herramientas recopilan datos de navegación o interacción.
• El operador del sitio web está «ayudando e incitando» a terceros a realizar escuchas ilegales.

Esta teoría ha dado lugar a cientos de demandas, con indemnizaciones por daños y perjuicios de hasta 5000 dólares por infracción o tres veces los daños reales (lo que sea mayor), más medidas cautelares.

Incluso las reclamaciones por molestias pueden resultar costosas de resolver.

Aunque existen iniciativas legislativas para modernizar la CIPA, los avances se han estancado. Las empresas deben asumir que estas demandas continuarán.

La Ley de Protección de la Privacidad en los Vídeos (VPPA)

Aprobada en 1988, la VPPA se diseñó para proteger los registros de alquiler de vídeos en la era de Blockbuster. Hoy en día, los demandantes argumentan que:

• Un usuario que ve un videoclip en un sitio web.
• En combinación con herramientas de seguimiento de terceros
• Equivale a la divulgación ilegal del «historial de visualización».

Los tribunales han aceptado esta teoría, y varios acuerdos importantes —entre ellos uno por valor de 46 millones de dólares en 2024 en seis casos importantes— demuestran lo grave que puede ser la exposición.

Las industrias con mayor riesgo incluyen:

• Medios de comunicación
• Venta al por menor
• Finanzas
• Atención sanitaria
• Cualquier sitio web con vídeo incrustado y Meta Pixel instalado.

ACTUALIZACIÓN POSTERIOR AL PODCAST: El26 de enero de 2026, el Tribunal Supremo de los Estados Unidos admitió a trámite el recurso de certiorari en el caso Salazar contra Paramount Global, lo que podría aportar claridad sobre cuestiones clave relativas a la legitimación y el alcance de la VPPA; hasta entonces, los litigios relacionados con la VPPA siguen siendo un importante vector de riesgo. 

Estrategias de reducción de riesgos para estas leyes no relacionadas con la privacidad

Para mitigar el riesgo de demandas relacionadas con la CIPA y la VPPA, Goldstick y Misakian recomiendan lo siguiente:

• Uso de reproductores YouTube A-Frame con divulgaciones previas
• Implementación de gestores de consentimiento de cookies robustos
• Realización de auditorías de seguimiento de sitios web
• Revisión de los contratos con los proveedores que reciben datos personales.
• Garantizar la existencia de cláusulas de arbitraje en las condiciones de uso
• Mantener un seguimiento continuo de la evolución jurídica.

Muchos clientes se sorprenden al descubrir qué herramientas de seguimiento se están utilizando en sus sitios web. Y dado que las teorías sobre litigios cambian rápidamente, las empresas deben tratar esto como un área de cumplimiento continuo, no como una revisión puntual.

El resultado final del cumplimiento de la normativa de privacidad

El podcast concluyó con tres conclusiones principales para las organizaciones que evalúan o perfeccionan sus programas de privacidad:

1. El panorama de la privacidad se está volviendo cada vez más complicado.

Con más de 20 leyes estatales exhaustivas sobre privacidad del consumidor actualmente en vigor y otras en camino, el mosaico de leyes estatales sobre privacidad en los Estados Unidos seguirá estando fragmentado en el futuro previsible. Las empresas no pueden confiar en que la legislación federal unifique las normas en un futuro próximo.

2. Su enfoque de cumplimiento debe adaptarse a su negocio.

Tanto si opta por un enfoque de carrera hacia la cima, un modelo específico adaptado a cada jurisdicción o una solución híbrida, la elección correcta depende de:

• Sus operaciones
• Sus sistemas
• Su tolerancia al riesgo
• Su sector
• La naturaleza de sus datos
• Tus recursos internos

3. Ni siquiera el cumplimiento perfecto es suficiente

Las reclamaciones relacionadas con la CIPA y la VPPA generan un riesgo adicional de litigios, lo que requiere estrategias de reducción de riesgos independientes que van más allá del cumplimiento de la legislación en materia de privacidad.

Conclusión

Las leyes estatales de privacidad del consumidor han creado un mosaico dinámico y, a menudo, vertiginoso de requisitos que las empresas deben manejar con cuidado. Comprender los umbrales, definiciones, exenciones y derechos del consumidor únicos de cada estado es fundamental, pero elegir el enfoque adecuado para el programa de privacidad de su empresa es igualmente importante.

Independientemente de si su organización se inclina por una estrategia única para todos, un enfoque más personalizado o un modelo híbrido, es esencial contar con una planificación cuidadosa y una ejecución coherente. Y dado que las amenazas legales surgen cada vez más de leyes antiguas que no están diseñadas para las tecnologías modernas, las empresas deben revisar con el mismo rigor sus prácticas de seguimiento web, sus relaciones con los proveedores y sus divulgaciones.

Para las organizaciones que se mueven en este complejo terreno, el Grupo de Práctica de Transacciones Tecnológicas, Ciberseguridad y Privacidad de Foley está aquí para ayudar, ofreciendo orientación práctica y aplicable basada en una amplia experiencia.

¿Te interesa estar al tanto de las últimas novedades en materia de privacidad?

Escuche la serie de podcasts del Grupo de Ciberseguridad y Privacidad de Datos de Foley, en la que nuestros abogados analizan las normativas en constante evolución, los riesgos emergentes y lo que significan para su negocio. 

Haga clic para escuchar el episodio completo del podcast.

Haga clic aquí para escuchar otros episodios del podcast sobre privacidad.