California
Leyes de Privacidad de Datos de California: CCPA, CPRA y Derechos del Consumidor (2026)

La ley de privacidad de datos de California, la CCPA modificada por la CPRA (Cal. Civ. Code §§ 1798.100-1798.199.100), otorga a los residentes seis derechos exigibles: a saber, eliminar, corregir y optar por no participar en la venta o el intercambio de su información personal, a limitar el uso de datos sensibles, y a no sufrir discriminación por ejercer esos derechos.
California cuenta con el marco de privacidad de datos más completo de Estados Unidos. Las protecciones del estado van mucho más allá de lo que exige la ley federal, otorgando a los residentes derechos sólidos sobre cómo las empresas recolectan, usan y comparten su información personal.
La California Consumer Privacy Act (CCPA), modificada por la California Privacy Rights Act (CPRA), constituye la base de ese marco. Estatutos adicionales que abarcan filtraciones de datos, datos estudiantiles, políticas de privacidad en línea, corredores de datos y categorías específicas de datos añaden protecciones adicionales.
Esta guía cubre todas las principales leyes de privacidad de datos de California actualmente vigentes, incluyendo las últimas regulaciones y acciones de cumplimiento de 2025-2026.

La CCPA y la CPRA: La Ley de Privacidad Fundamental de California
La California Consumer Privacy Act se promulgó en 2018 y entró en vigor el 1 de enero de 2020. Los votantes de California aprobaron después la Proposición 24 en noviembre de 2020, creando la CPRA. La CPRA no reemplazó a la CCPA. En cambio, modificó y amplió la ley existente, agregó nuevos derechos para los consumidores y creó la California Privacy Protection Agency (CPPA) como el primer regulador estatal de privacidad dedicado del país.
Las enmiendas de la CPRA entraron en vigor el 1 de enero de 2023. La ley combinada está codificada en las Secciones 1798.100 a 1798.199.100 del Código Civil de California y todavía se conoce comúnmente como CCPA. Dos enmiendas adicionales firmadas en septiembre de 2024 entraron en vigor el 1 de enero de 2025: la AB 1008, que aclaró que la información personal incluye datos incorporados en sistemas de IA y otros sistemas digitales abstractos, y la SB 1223, que agregó los datos neuronales a la categoría de información personal sensible.
Qué Empresas Deben Cumplir
La CCPA se aplica a las empresas con fines de lucro que operan en California y cumplen con al menos uno de tres umbrales, ajustados por inflación en enero de 2025:
- Ingresos brutos anuales de $26.625 millones o más
- Comprar, vender o compartir la información personal de 100,000 o más residentes u hogares de California
- Obtener el 50% o más de sus ingresos anuales de la venta o el intercambio de información personal de residentes de California
Las organizaciones sin fines de lucro y las agencias gubernamentales no están sujetas a la CCPA. Ciertas categorías de datos también están exentas, incluyendo la información médica cubierta por la HIPAA, los datos de crédito al consumidor bajo la FCRA y los datos recolectados bajo la Gramm-Leach-Bliley Act.
Qué Se Considera Información Personal
Según la Sección 1798.140, la información personal es cualquier información que identifica, se relaciona con, describe, puede razonablemente asociarse con, o podría razonablemente vincularse con un consumidor u hogar en particular. Los ejemplos incluyen nombres, números de Seguro Social, direcciones de correo electrónico, historiales de compra, actividad de navegación, datos de geolocalización, huellas dactilares e inferencias utilizadas para crear perfiles de consumidores.
La AB 1008, vigente desde el 1 de enero de 2025, aclaró que la información personal conserva su carácter sin importar el formato, incluso cuando está incorporada en sistemas de IA generativa u otros entornos digitales abstractos.
Información Personal Sensible
La CPRA introdujo una categoría separada de información personal sensible con protecciones más estrictas. La información personal sensible incluye:
- Números de Seguro Social, números de licencia de conducir y números de identificación estatal
- Números de cuentas financieras combinados con credenciales de acceso
- Datos precisos de geolocalización
- Origen racial o étnico, creencias religiosas o filosóficas y afiliación sindical
- Contenido de correo postal, correo electrónico y mensajes de texto (a menos que la empresa sea el destinatario previsto)
- Datos genéticos
- Información biométrica utilizada para identificación
- Información de salud
- Información sobre la vida sexual u orientación sexual
- Datos neuronales (agregados por la SB 1223, vigente desde el 1 de enero de 2025)
Los consumidores tienen derecho a exigir a las empresas que limiten el uso y la divulgación de su información personal sensible a lo necesario para proporcionar los bienes o servicios solicitados.

Seis Derechos Fundamentales del Consumidor Bajo la CCPA
Los residentes de California tienen seis derechos de privacidad fundamentales bajo la CCPA. Las empresas deben respetar estos derechos sin importar si el consumidor es un cliente actual.
Derecho a Saber
Los consumidores pueden solicitar que una empresa revele qué información personal ha recolectado sobre ellos, las fuentes de recolección, los propósitos comerciales y las categorías de terceros con quienes se comparte la información. Las empresas deben responder a una solicitud verificable del consumidor dentro de 45 días calendario y pueden extender el plazo 45 días adicionales con previo aviso. Los consumidores pueden presentar esta solicitud hasta dos veces al año sin costo.
Derecho a Eliminar
Los consumidores pueden solicitar la eliminación de la información personal que una empresa haya recolectado sobre ellos. La empresa también debe indicar a sus proveedores de servicios y contratistas que eliminen los datos. Existen excepciones para los datos necesarios para completar una transacción, detectar incidentes de seguridad o cumplir con obligaciones legales, entre otras enumeradas en la Sección 1798.105.
Derecho a Corregir
Agregado por la CPRA y vigente desde el 1 de enero de 2023, los consumidores pueden pedir a las empresas que corrijan información personal inexacta. Las empresas deben hacer esfuerzos comercialmente razonables para corregir la información dentro de los 45 días calendario posteriores a recibir una solicitud verificada.
Derecho a Optar por No Participar en la Venta o el Intercambio
Los consumidores pueden indicar a una empresa que deje de vender o compartir su información personal. Las empresas que venden o comparten información personal deben mostrar en su sitio web un enlace claro y visible titulado "No Vender ni Compartir Mi Información Personal" ("Do Not Sell or Share My Personal Information").
Las empresas también deben respetar las señales del navegador de Global Privacy Control (GPC). Una vez que un consumidor opta por no participar, la empresa debe esperar al menos 12 meses antes de solicitarle que vuelva a optar por participar.
Derecho a Limitar el Uso de Información Personal Sensible
Los consumidores pueden indicar a las empresas que limiten el uso de su información personal sensible a lo necesario para realizar el servicio solicitado. Las empresas deben proporcionar un enlace titulado "Limitar el Uso de Mi Información Personal Sensible" ("Limit the Use of My Sensitive Personal Information"), o combinarlo con el enlace de exclusión.
Derecho a la No Discriminación
Las empresas no pueden penalizar a los consumidores por ejercer sus derechos bajo la CCPA. Una empresa no puede negar bienes o servicios, cobrar precios diferentes ni ofrecer un nivel de calidad distinto en función de que un consumidor ejerza sus derechos de privacidad.
Obligaciones de las Empresas Bajo la CCPA
Requisitos del Aviso de Privacidad
Las empresas deben proporcionar un aviso en el momento de la recolección que enumere las categorías de información personal que se recolectan y los propósitos de cada categoría, entregado en o antes del momento de la recolección. Las empresas también deben mantener una política de privacidad que cubra toda la información personal recolectada en los últimos 12 meses, las fuentes, los propósitos, las categorías de terceros a quienes se divulga, y una descripción de cada derecho del consumidor.
Manejo de Solicitudes
Las empresas deben proporcionar al menos dos métodos para que los consumidores presenten solicitudes, incluyendo un número de teléfono gratuito y una dirección de sitio web. Las empresas deben confirmar la recepción dentro de 10 días hábiles y responder de manera sustantiva dentro de 45 días. Para las solicitudes de exclusión, las empresas deben cumplir dentro de 15 días hábiles.
Contratos con Proveedores de Servicios
Los contratos escritos con proveedores de servicios deben prohibir que el proveedor venda o comparta información personal, la use para propósitos fuera del contrato, o la retenga después de que finalice la relación comercial.
Protecciones de Privacidad para Menores
La CCPA prohíbe vender o compartir la información personal de consumidores que se sepa que son menores de 16 años sin autorización afirmativa. Para los niños menores de 13 años, un padre o tutor debe otorgar el consentimiento. Para los consumidores de 13 a 15 años, el menor debe otorgar el consentimiento. La Fiscalía General de California ha aplicado activamente estas disposiciones contra empresas de videojuegos y transmisión de contenido.

Actualizaciones de las Regulaciones de la CCPA 2025-2026
El Paquete de ADMT, Auditoría de Ciberseguridad y Evaluación de Riesgos
La Junta de la CPPA adoptó un importante paquete de regulaciones el 24 de julio de 2025. La Oficina de Derecho Administrativo aprobó y presentó las regulaciones ante el Secretario de Estado el 22 de septiembre de 2025. La mayoría de los requisitos entraron en vigor el 1 de enero de 2026. El paquete abarca cuatro áreas:
Tecnología de Toma de Decisiones Automatizada (ADMT): Los consumidores obtienen derechos a recibir aviso sobre, acceder a información relacionada con, y optar por no participar en el uso que hace una empresa de la ADMT para decisiones con efectos legales o de importancia similar. Las empresas que usan ADMT en contextos de decisiones significativas deben cumplir a partir del 1 de enero de 2027. Las empresas que usan ADMT para elaboración de perfiles en contextos laborales o educativos tienen hasta el 1 de enero de 2028.
Auditorías de Ciberseguridad: Las empresas cuyo procesamiento de información personal presenta un riesgo significativo para los consumidores deben completar auditorías anuales de ciberseguridad. Qué empresas califican depende de los umbrales de tipo y volumen de datos definidos en las regulaciones.
Evaluaciones de Riesgo: Las empresas que realizan actividades de procesamiento de alto riesgo deben llevar a cabo y presentar evaluaciones de riesgo a la CPPA. Las evaluaciones deben analizar los beneficios y riesgos de cada actividad de procesamiento e identificar las salvaguardas.
Cumplimiento de Compañías de Seguros: Las regulaciones aclaran cuándo las compañías de seguros deben cumplir con los requisitos de la CCPA, abordando una brecha anterior en el marco regulatorio.
Sanciones y Cumplimiento de la CCPA
La autoridad de cumplimiento se divide entre la California Privacy Protection Agency (CPPA) y la Fiscalía General de California (AG). La CPPA maneja las infracciones ocurridas a partir del 1 de julio de 2023. La AG conserva autoridad sobre infracciones anteriores y ejerce jurisdicción concurrente en algunas áreas. Los consumidores tienen un derecho de acción privado limitado en casos de filtraciones de datos.
Estructura de Sanciones
A partir de enero de 2025, las sanciones están ajustadas por inflación y son las siguientes:
| Tipo de Infracción | Monto de la Sanción |
|---|---|
| Infracción no intencional | Hasta $2,663 por infracción |
| Infracción intencional | Hasta $7,988 por infracción |
| Infracción que involucra a un menor de 16 años | Hasta $7,988 por infracción |
Estos montos se ajustan cada año impar según el Índice de Precios al Consumidor de California.
Derecho de Acción Privado por Filtraciones de Datos
Según la Sección 1798.150, los consumidores pueden demandar directamente a las empresas cuando su información personal no cifrada y no redactada es robada debido a que la empresa no mantuvo una seguridad razonable. Los daños legales oscilan entre $107 y $799 por consumidor por incidente, o daños reales, lo que sea mayor. Los consumidores deben proporcionar un aviso escrito de 30 días y una oportunidad de subsanar antes de presentar la demanda.

Acciones Recientes de Cumplimiento: CPPA
La CPPA ha emprendido las siguientes acciones destacadas desde que asumió la autoridad de cumplimiento en 2023:
Honda Motor Co. (marzo de 2025): La CPPA llegó a un acuerdo con American Honda por $632,500 por infracciones que incluían exigir a los consumidores proporcionar información personal excesiva antes de ejercer los derechos de exclusión bajo la CCPA, haciendo que el proceso de verificación fuera indebidamente gravoso.
Todd Snyder, Inc. (mayo de 2025): El minorista de ropa pagó $345,178 por no configurar adecuadamente su infraestructura de exclusión durante 40 días, solicitar más información del consumidor de la necesaria, y exigir verificación de identidad para las solicitudes de exclusión.
Tractor Supply Company (septiembre de 2025): La CPPA emitió su multa más alta hasta la fecha, $1,350,000, por no mantener avisos de privacidad adecuados, no informar a los solicitantes de empleo sobre sus derechos de privacidad, carecer de mecanismos efectivos de exclusión, incluyendo Global Privacy Control, y compartir datos con terceros sin protecciones contractuales de privacidad.
Acciones Recientes de Cumplimiento: Fiscalía General de California
Sephora (agosto de 2022): La AG obtuvo un acuerdo de $1,200,000 por no divulgar que estaba vendiendo la información personal de los consumidores y por no respetar las señales de exclusión de Global Privacy Control.
DoorDash (febrero de 2024): La AG obtuvo un acuerdo de $375,000 después de que DoorDash vendiera la información personal de sus clientes a través de una cooperativa de marketing sin proporcionar aviso ni la posibilidad de exclusión.
Tilting Point Media (junio de 2024): La AG y el Fiscal de la Ciudad de Los Ángeles obtuvieron un acuerdo de $500,000 contra el creador de "SpongeBob: Krusty Cook-Off" por recolectar y compartir datos personales de menores sin el consentimiento de los padres, infringiendo tanto la CCPA como la ley federal COPPA.
Healthline Media (julio de 2025): La AG obtuvo el mayor acuerdo de CCPA liderado por la AG hasta la fecha, por $1,550,000, por compartir datos de salud de los usuarios con anunciantes externos sin las protecciones requeridas, incluyendo datos que sugerían que los usuarios podían tener afecciones médicas graves.
General Motors (2025-2026): La AG, junto con múltiples fiscales de distrito y con el apoyo de la CPPA, anunció un acuerdo de $12,750,000 contra GM por vender los datos de conducción y ubicación de OnStar de cientos de miles de californianos a corredores de datos, quienes luego vendieron los datos a compañías de seguros para fijar tarifas. El acuerdo está sujeto a la aprobación judicial.
Disney (febrero de 2026): La AG obtuvo un acuerdo de $2,750,000 contra The Walt Disney Company por no respetar las solicitudes de exclusión en Disney+, Hulu y ESPN+. Este es actualmente el mayor acuerdo de CCPA en la historia de California.
Ley de Notificación de Filtraciones de Datos de California
La ley de notificación de filtraciones de datos de California, Sección 1798.82 del Código Civil, fue una de las primeras de su tipo en el país cuando se promulgó en 2003.
Cuándo Se Requiere la Notificación
Una empresa o persona que posee o tiene licencia sobre información personal computarizada y que opera en California debe notificar a los residentes afectados cuando su información personal no cifrada sea adquirida, o razonablemente se crea que fue adquirida, por una persona no autorizada. Si se filtran datos cifrados junto con la clave de cifrado, la notificación sigue siendo obligatoria.
Qué Activa la Notificación
Se requiere una notificación de filtración de datos cuando los datos comprometidos incluyen el nombre o la inicial y el apellido de una persona combinados con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación de California
- Número de cuenta financiera o número de tarjeta de crédito o débito combinado con cualquier código de acceso requerido
- Información médica o información de seguro médico
- Datos biométricos recolectados para autenticación
- Datos genéticos
- Número de identificación fiscal, número de pasaporte o número de identificación militar
Una filtración de un nombre de usuario o dirección de correo electrónico combinado con una contraseña o pregunta y respuesta de seguridad también requiere notificación.
Plazo y Requisitos de Notificación
Las empresas deben notificar a los consumidores afectados dentro de 30 días calendario desde que descubren la filtración. Se permite un retraso razonable con fines de aplicación de la ley o para determinar el alcance de la filtración. Cuando una filtración afecta a más de 500 residentes de California, la empresa debe presentar un aviso de muestra a la Fiscalía General dentro de 15 días.
El aviso requerido debe estar redactado en lenguaje claro, usar una fuente de un mínimo de 10 puntos, y contener cinco secciones etiquetadas: "Qué Sucedió" ("What Happened"), "Qué Información Estuvo Involucrada" ("What Information Was Involved"), "Qué Estamos Haciendo" ("What We Are Doing"), "Qué Puede Hacer Usted" ("What You Can Do"), y "Para Más Información" ("For More Information").
La Ley Delete de California y la Plataforma DROP
La California Delete Act, firmada en 2023, estableció la Delete Request and Opt-Out Platform (DROP), un sitio web administrado por el estado donde los residentes de California pueden presentar una única solicitud de eliminación que se aplica a todos los corredores de datos registrados en el estado. La DROP se lanzó en enero de 2026.
A partir del 1 de agosto de 2026, los corredores de datos registrados deben revisar la DROP al menos cada 45 días y procesar las solicitudes de eliminación de cualquier registro de consumidor coincidente. Los corredores de datos deben informar el estado de cada solicitud de eliminación dentro de los 45 días posteriores a haberla recibido.
Requisitos de Registro de Corredores de Datos
Las empresas que operan como corredores de datos deben registrarse ante la CPPA antes del 31 de enero de cada año y pagar una tarifa anual de $6,000. La CPPA administra el registro (transferido de la AG a partir del 1 de enero de 2024) y ha creado un grupo especial dedicado a hacer cumplir las normas sobre corredores de datos.
La CPPA ya ha multado a corredores de datos no registrados. En enero de 2026, multó a Rickenbacher Data LLC con $45,000 por vender información personal de millones de personas con afecciones de salud graves sin haberse registrado.

Otros Estatutos de Privacidad de California
California Online Privacy Protection Act (CalOPPA)
CalOPPA (Bus. & Prof. Code §§ 22575-22579), promulgada en 2003, exige que los operadores de sitios web comerciales y servicios en línea que recolectan información personal de residentes de California publiquen una política de privacidad. La política debe identificar las categorías de información personal recolectada, las categorías de terceros con quienes se puede compartir la información, el proceso para que los consumidores revisen y soliciten cambios a su información, y cómo responde el operador a las señales del navegador "No Rastrear" ("Do Not Track").
Ley "Shine the Light"
La ley "Shine the Light" de California (Civil Code §§ 1798.83-1798.84) otorga a los consumidores el derecho, una vez al año, de solicitar una lista de las categorías de información personal compartida con terceros con fines de marketing directo y los nombres y direcciones de esos terceros. En su lugar, las empresas pueden ofrecer a los consumidores la posibilidad de excluirse de dicho intercambio.
Student Online Personal Information Protection Act (SOPIPA)
SOPIPA (SB 1177, 2014) prohíbe a los operadores de servicios de tecnología educativa de K-12 usar los datos de los estudiantes para crear perfiles con fines no educativos, vender información de los estudiantes, o realizar publicidad dirigida basada en datos de estudiantes. Los operadores deben mantener procedimientos de seguridad razonables para proteger la información de los estudiantes.
Age-Appropriate Design Code Act
California promulgó la Age-Appropriate Design Code Act (AB 2273) en 2022, exigiendo a las empresas en línea con probabilidad de ser accedidas por menores que realicen evaluaciones de impacto en la protección de datos e implementen protecciones de privacidad predeterminadas. Hasta mayo de 2026, la aplicación de la ley sigue bloqueada por una orden judicial federal tras una impugnación basada en la Primera Enmienda. La AG ha apelado.
Superposición de la Ley Federal de Privacidad
Varios estatutos federales se aplican junto con la ley estatal de California.
HIPAA cubre a las entidades reguladas y sus asociados comerciales en el sector de la salud. GLBA se aplica a las instituciones financieras. FCRA rige a las agencias de informes de crédito al consumidor. COPPA protege a los menores de 13 años en contextos en línea y fue central en la acción de cumplimiento contra Tilting Point descrita anteriormente.
La Sección 5 de la FTC Act otorga a la Federal Trade Commission autoridad para perseguir prácticas de datos engañosas e injustas por parte de empresas fuera de los sectores cubiertos por leyes sectoriales específicas.
TAKE IT DOWN Act (Pub. L. 119-12, firmada el 19 de mayo de 2025): Esta ley federal penaliza publicar o amenazar con compartir a sabiendas imágenes íntimas sin consentimiento, incluyendo imágenes generadas por IA de personas reales identificables. Las disposiciones penales entraron en vigor de inmediato al momento de la firma. Las obligaciones de aviso y retiro de contenido para las plataformas, aplicadas por la FTC, entraron en vigor el 19 de mayo de 2026. Las plataformas deben eliminar las imágenes denunciadas dentro de las 48 horas.
American Privacy Rights Act (APRA): Un proyecto de ley federal integral de privacidad, bipartidista, se introdujo en 2024 como H.R. 8818, pero expiró al final del 118º Congreso en enero de 2025 sin ser aprobado. El proyecto no ha sido reintroducido en el Congreso actual. Hasta mayo de 2026, no se ha promulgado ninguna ley federal integral de privacidad.

Cómo Se Compara California con las Leyes de Privacidad de Otros Estados
El marco de privacidad de California se distingue de las leyes de otros estados en varios aspectos:
Agencia de cumplimiento dedicada: California es el único estado con una agencia independiente dedicada a hacer cumplir la privacidad (la CPPA). Todos los demás estados dependen de su fiscal general para el cumplimiento de leyes tipo CCPA.
Derecho de acción privado: California permite a los consumidores demandar directamente por filtraciones de datos. La mayoría de las demás leyes estatales de privacidad no otorgan ningún derecho de acción privado.
Registro de corredores de datos y DROP: Ningún otro estado exige que los corredores de datos se registren ni proporciona un mecanismo centralizado de eliminación con un solo clic.
Umbral de ingresos: El umbral de ingresos de $26.625 millones de California no tiene equivalente en Virginia, Colorado, Connecticut, ni en la mayoría de los demás estados con leyes de privacidad integrales.
Alcance de datos sensibles: La categoría de información personal sensible de California, que ahora incluye datos neuronales, es una de las más amplias de cualquier ley estatal. Para una comparación completa entre los 50 estados, consulte el resumen de leyes de privacidad de datos en el mundo.
Pasos Prácticos de Cumplimiento para las Empresas
Las empresas sujetas a la CCPA deben seguir estos pasos para reducir el riesgo de acciones de cumplimiento:
Primero, confirme si cumple con alguno de los tres umbrales de la CCPA (ingresos, volumen de datos o porcentaje de ingresos por venta). Si es así, audite la información personal que recolecta, procesa y comparte. Clasifíquela según las categorías de la Sección 1798.140 e identifique cuáles categorías son sensibles.
Segundo, actualice su política de privacidad para cubrir toda la actividad de recolección de los últimos 12 meses y agregue los enlaces de exclusión requeridos. Verifique que sus enlaces de exclusión y de limitación de datos sensibles sean visibles y funcionales. Configure su portal de privacidad para aceptar automáticamente las señales de Global Privacy Control.
Tercero, establezca contratos escritos con todos los proveedores de servicios y contratistas que reciban información personal. Los contratos deben incluir las restricciones especificadas en la Sección 1798.140(ag).
Cuarto, revise sus prácticas de retención de datos. Las empresas solo deben conservar la información personal durante el tiempo razonablemente necesario para el propósito divulgado. El caso de GM ilustra el riesgo de retener datos más allá de su propósito original y luego venderlos.
Quinto, si sus actividades de procesamiento activarán los nuevos requisitos de auditoría de ciberseguridad o evaluación de riesgos según las regulaciones de septiembre de 2025, comience a planificar esos procesos ahora. Los mecanismos de exclusión específicos para ADMT son obligatorios para las empresas con casos de uso de decisiones significativas a partir del 1 de enero de 2027.
Cómo Ejercen Sus Derechos los Residentes de California
Los residentes de California pueden presentar solicitudes a través de los métodos designados de cualquier empresa cubierta, los cuales deben incluir como mínimo un número de teléfono gratuito y un formulario web. Las empresas deben responder dentro de 45 días (con una posible extensión de 45 días adicionales).
Específicamente para las solicitudes de exclusión, las empresas deben cumplir dentro de 15 días hábiles. Los consumidores que hayan instalado un navegador o extensión compatible con Global Privacy Control pueden activar la exclusión automáticamente sin presentar una solicitud manual.
Para las eliminaciones de corredores de datos, la plataforma DROP de la CPPA en cppa.ca.gov acepta solicitudes de eliminación únicas que se aplican a todos los corredores de datos registrados a partir de 2026. Los corredores de datos deben procesar las solicitudes coincidentes dentro de los 45 días posteriores a haberlas recibido.
Para presentar una queja sobre una infracción de la CCPA, los consumidores pueden comunicarse con la CPPA para infracciones ocurridas a partir del 1 de julio de 2023, o con la Fiscalía General de California para infracciones anteriores o infracciones que caigan bajo la autoridad independiente de la AG.
Más Guías Legales de California
Explore guías legales relacionadas de California:
- Leyes de Grabación de California - Reglas de consentimiento para grabar conversaciones
- Leyes de Verificación de Antecedentes de California - Verificación laboral y la ley "Ban the Box"
- Todas las Leyes de Privacidad de Datos de EE. UU. - Compare las leyes de privacidad en los 50 estados
Más Leyes de California
- Leyes de Grabación de Reuniones con IA de California
- Leyes de Pensión Alimenticia Conyugal de California
- Leyes de Empleo a Voluntad de California
- Leyes de Accidentes Automovilísticos de California
- Leyes de Asientos de Seguridad para Niños de California
- Leyes de Custodia de Menores de California
- Leyes de Manutención Infantil de California
- Leyes de Matrimonio de Hecho de California
- Leyes sobre Deepfakes de California
- Leyes de Divorcio de California
- Leyes sobre Mordeduras de Perro de California
- Leyes de Emancipación de California
- Leyes de Eliminación de Antecedentes Penales de California
- Leyes sobre Atropello y Fuga de California
- Leyes de Propietarios e Inquilinos de California
- Ley del Limón de California
Preguntas frecuentes
¿La CCPA se aplica a las pequeñas empresas en California?
La CCPA se aplica únicamente a las empresas con fines de lucro que cumplen con al menos uno de tres umbrales: ingresos brutos anuales de $26.625 millones o más; comprar, vender o compartir información personal de 100,000 o más residentes u hogares de California; o derivar el 50% o más de los ingresos anuales de la venta de información personal. Las empresas que no cumplen con ningún umbral no están cubiertas. Sin embargo, todas las empresas de California siguen sujetas a la ley estatal de notificación de filtraciones de datos (Código Civil § 1798.82) y a CalOPPA si operan un sitio web comercial.
¿Cómo puedo optar por no participar en la venta de mi información personal en California?
Haga clic en el enlace "No Vender ni Compartir Mi Información Personal" ("Do Not Sell or Share My Personal Information") que las empresas cubiertas están obligadas a incluir en sus sitios web. También puede usar una extensión de navegador que envíe una señal de Global Privacy Control, la cual las empresas cubiertas deben respetar automáticamente. A partir de 2026, también puede usar la plataforma DROP administrada por el estado en cppa.ca.gov para enviar una única solicitud de eliminación a todos los corredores de datos registrados.
¿Cuáles son las sanciones por infracciones de la CCPA en 2025 y 2026?
A partir de enero de 2025, la CPPA o la AG pueden imponer multas de hasta $2,663 por infracción no intencional y hasta $7,988 por infracción intencional o cualquier infracción que involucre a un consumidor menor de 16 años. Para las filtraciones de datos causadas por la falta de una empresa de mantener una seguridad razonable, los consumidores afectados pueden demandar por $107 a $799 por consumidor por incidente, o daños reales, lo que sea mayor. Los montos de las sanciones se ajustan cada dos años según el Índice de Precios al Consumidor de California.
¿Qué es la California DELETE Act y la plataforma DROP?
La Delete Act, firmada en 2023, creó la Delete Request and Opt-Out Platform (DROP), un sitio web administrado por el estado donde los residentes de California pueden presentar una solicitud de eliminación que se aplica a todos los corredores de datos registrados en el estado. La DROP se lanzó en enero de 2026. A partir del 1 de agosto de 2026, los corredores de datos deben revisar la plataforma al menos cada 45 días y procesar las solicitudes de eliminación coincidentes dentro de 45 días. Los corredores de datos deben registrarse ante la CPPA anualmente y pagar una tarifa de $6,000.
¿La ley de privacidad de California cubre los datos neuronales y los sistemas de IA?
Sí. La SB 1223, firmada el 28 de septiembre de 2024 y vigente desde el 1 de enero de 2025, agregó los datos neuronales a la categoría de información personal sensible bajo la CCPA. Los datos neuronales se definen como información generada al medir la actividad del sistema nervioso central o periférico de un consumidor. La AB 1008, también vigente desde el 1 de enero de 2025, aclaró que la información personal incluye datos incorporados en la IA generativa y otros formatos digitales abstractos.
¿Cuál es la diferencia entre el cumplimiento por parte de la AG y el cumplimiento por parte de la CPPA?
La Fiscalía General de California hizo cumplir la CCPA exclusivamente desde enero de 2020 hasta junio de 2023. La CPPA asumió la autoridad principal de cumplimiento para infracciones ocurridas a partir del 1 de julio de 2023. Ambas agencias pueden emprender acciones en algunas circunstancias: la AG conserva autoridad sobre ciertas infracciones y ejerce jurisdicción concurrente en áreas como la privacidad de menores. La CPPA tiene autoridad adicional sobre el programa de registro de corredores de datos de la Delete Act.
¿Cuáles son las nuevas regulaciones sobre toma de decisiones automatizada vigentes en 2026?
La Junta de la CPPA adoptó las regulaciones de ADMT el 24 de julio de 2025, aprobadas por la Oficina de Derecho Administrativo el 22 de septiembre de 2025, con regulaciones generales vigentes desde el 1 de enero de 2026. Estas otorgan a los consumidores el derecho a recibir aviso sobre, acceder a información relacionada con, y optar por no participar en el uso que hace una empresa de la tecnología de toma de decisiones automatizada para decisiones con efectos legales o de importancia similar. Las empresas con casos de uso de decisiones significativas deben cumplir antes del 1 de enero de 2027; las empresas que usan ADMT para elaboración de perfiles laborales o educativos deben cumplir antes del 1 de enero de 2028.
¿La ley de privacidad de California se aplica a empleados y solicitantes de empleo?
Sí. Las enmiendas de la CPRA que entraron en vigor el 1 de enero de 2023 eliminaron una exención parcial anterior para los datos de empleados y solicitantes de empleo, sometiendo completamente esos datos a los requisitos de la CCPA. La acción de cumplimiento contra Tractor Supply en septiembre de 2025 citó específicamente que la falta de la empresa de informar a los solicitantes de empleo sobre sus derechos de privacidad constituía una infracción de la CCPA.
Fuentes y referencias
- Texto completo de la CCPA(leginfo.legislature.ca.gov).gov
- Resumen de la CCPA - Fiscalía General(oag.ca.gov).gov
- Estatuto de la CCPA vigente desde el 1 de enero de 2026(cppa.ca.gov).gov
- Preguntas Frecuentes de la CCPA(cppa.ca.gov).gov
- Ajustes de Sanciones de la CCPA 2025(cppa.ca.gov).gov
- Actualizaciones de la CCPA: ADMT, Ciberseguridad, Evaluaciones de Riesgo(cppa.ca.gov).gov
- Acciones de Cumplimiento de Privacidad(oag.ca.gov).gov
- Ley de Notificación de Filtraciones de Datos (Civ. Code 1798.82)(leginfo.legislature.ca.gov).gov
- Requisitos de Reporte de Filtraciones de Datos(oag.ca.gov).gov
- Ley Delete y Plataforma DROP(cppa.ca.gov).gov
- SB 1223: Protección de Datos Neuronales(leginfo.legislature.ca.gov).gov
- CalOPPA(leginfo.legislature.ca.gov).gov
- Ley Shine the Light(leginfo.legislature.ca.gov).gov
- SOPIPA (SB 1177)(leginfo.legislature.ca.gov).gov
- Age-Appropriate Design Code Act(leginfo.legislature.ca.gov).gov
- Acción de Cumplimiento contra Tractor Supply(cppa.ca.gov).gov
- Acción de Cumplimiento contra Todd Snyder(cppa.ca.gov).gov
- Acciones de Cumplimiento contra Corredores de Datos(cppa.ca.gov).gov
- Definiciones de la Sección 1798.140(leginfo.legislature.ca.gov).gov
- Apelación de la AADC(oag.ca.gov).gov
- La CPPA Finaliza las Regulaciones de ADMT, Auditoría de Ciberseguridad y Evaluación de Riesgos(cppa.ca.gov).gov
- Acuerdo de la CCPA con Honda Motor Co. ($632,500)(cppa.ca.gov).gov
- Acuerdo de la CCPA con Sephora ($1,200,000)(oag.ca.gov).gov
- Acuerdo de la CCPA con DoorDash ($375,000)(oag.ca.gov).gov
- Acuerdo de la CCPA con Tilting Point Media ($500,000)(oag.ca.gov).gov
- Acuerdo de la CCPA con Healthline Media ($1,550,000)(oag.ca.gov).gov
- Acuerdo de la CCPA con General Motors ($12,750,000)(oag.ca.gov).gov
- Acuerdo de la CCPA con Disney ($2,750,000)(oag.ca.gov).gov
- Ley de Notificación de Filtraciones de Datos (Cal. Civ. Code § 1798.82)(leginfo.legislature.ca.gov).gov
- Lanzamiento del Grupo Especial de la CPPA para Corredores de Datos(cppa.ca.gov).gov
- AB 1008: Cobertura de la CCPA de Información Personal en Sistemas de IA(leginfo.legislature.ca.gov).gov
- La Aplicación de la TAKE IT DOWN Act por la FTC Comienza el 19 de Mayo de 2026(ftc.gov).gov