California
Lista de Verificación de Cumplimiento de la CCPA para Empresas (2026)

Cumplir con los requisitos de la California Consumer Privacy Act (CCPA) implica mucho más que actualizar una política de privacidad. Las empresas que cumplen con los umbrales de aplicabilidad de la ley deben construir procesos operativos para manejar las solicitudes de los consumidores, gestionar las relaciones con proveedores y documentar las prácticas de datos. Las enmiendas de la CPRA (vigentes desde el 1 de enero de 2023) y las actualizaciones regulatorias de 2026 agregaron más requisitos en torno a la información personal sensible, las evaluaciones de riesgo y las auditorías de ciberseguridad.
Esta lista de verificación recorre cada obligación de cumplimiento en términos prácticos, organizada por prioridad de implementación. Ya sea que esté comenzando desde cero o auditando un programa existente, cada paso corresponde directamente a una disposición específica de la CCPA.
Paso 1: Determine Si la CCPA Se Aplica a Su Empresa
Antes de invertir en infraestructura de cumplimiento, confirme que su empresa cumple con al menos uno de los umbrales de aplicabilidad de la CCPA. A partir del ajuste del IPC de 2025:
- Umbral de ingresos: Los ingresos brutos anuales superan los $26.625 millones en el año calendario anterior
- Umbral de volumen de datos: Compra, vende o comparte información personal de 100,000 o más residentes u hogares de California
- Umbral de ingresos por datos: Obtiene el 50% o más de los ingresos anuales de la venta o el intercambio de información personal de residentes de California
La CCPA se aplica únicamente a empresas con fines de lucro. Las organizaciones sin fines de lucro y las agencias gubernamentales generalmente están exentas. La empresa también debe recolectar información personal de residentes de California (o hacer que otros la recolecten en su nombre) y determinar los propósitos y medios de procesamiento de esa información.
Si su empresa no cumple con ningún umbral hoy, monitoree su crecimiento. Cruzar un umbral a mitad de año activa obligaciones de cumplimiento.

Paso 2: Mapee Sus Datos
El mapeo de datos es la base de todos los demás pasos de cumplimiento. No puede cumplir con las solicitudes de los consumidores, escribir una política de privacidad precisa, ni realizar evaluaciones de riesgo sin saber qué datos recolecta, a dónde van y cuánto tiempo los conserva.
Qué Documentar
Para cada categoría de información personal que su empresa recolecta:
- Fuente: De dónde provienen los datos (directamente de los consumidores, de terceros, recolección automatizada)
- Categorías recolectadas: Identificadores, información comercial, actividad en internet, geolocalización, datos biométricos, información personal sensible, etc.
- Propósito: La razón comercial de recolectar y procesar estos datos
- Destinatarios: Proveedores de servicios, contratistas y terceros que reciben los datos
- Período de retención: Cuánto tiempo conserva los datos antes de eliminarlos
- Venta o intercambio: Si los datos se venden o comparten con fines de publicidad conductual entre contextos
Información Personal Sensible
Marque cualquier categoría que califique como información personal sensible bajo la CPRA: identificadores gubernamentales, credenciales financieras, geolocalización precisa, origen racial o étnico, creencias religiosas, datos genéticos, datos biométricos, datos de salud, datos de orientación sexual, contenido de comunicaciones privadas y datos neuronales.
La información personal sensible activa obligaciones adicionales, incluyendo el derecho del consumidor a limitar su uso y posibles requisitos de evaluación de riesgo.

Paso 3: Actualice Su Política de Privacidad
La CCPA exige que las empresas cubiertas mantengan una política de privacidad actualizada al menos cada 12 meses. La política debe divulgar información específica en un lenguaje claro y comprensible.
Divulgaciones Requeridas en la Política de Privacidad
Su política de privacidad debe incluir:
- Categorías de información personal recolectada en los 12 meses anteriores
- Categorías de fuentes de las que se recolecta la información personal
- Propósitos comerciales de recolectar, vender o compartir información personal
- Categorías de terceros a quienes se divulga la información personal
- Categorías de información personal vendida o compartida en los 12 meses anteriores (o una declaración de que la empresa no ha vendido ni compartido información personal)
- Categorías de información personal divulgada con fines comerciales en los 12 meses anteriores
- Períodos de retención para cada categoría de información personal (agregado por la CPRA)
- Una descripción de cada derecho del consumidor e instrucciones sobre cómo presentar solicitudes
- Métodos para presentar solicitudes: Como mínimo, un número de teléfono gratuito y una dirección de sitio web (para empresas que operan en línea, una dirección de correo electrónico y un formulario web)
- Fecha de la última actualización
Divulgación de Información Personal Sensible
Si su empresa recolecta información personal sensible, la política de privacidad debe identificar por separado esas categorías y explicar cómo la empresa las usa y divulga.
Accesibilidad
La política de privacidad debe estar disponible en los idiomas en los que la empresa proporciona contratos, avisos legales, anuncios de venta y otra información a los consumidores de California. También debe ser accesible para consumidores con discapacidades.
Paso 4: Implemente los Enlaces Requeridos del Sitio Web
Dependiendo de sus prácticas de datos, la CCPA exige enlaces específicos en la página de inicio de su sitio web.
"No Vender ni Compartir Mi Información Personal"
Si su empresa vende o comparte información personal, debe publicar un enlace claro y visible titulado "No Vender ni Compartir Mi Información Personal" en su página de inicio. Este enlace debe dirigir a una página donde los consumidores puedan presentar una solicitud de exclusión sin crear una cuenta ni proporcionar información personal innecesaria.
"Limitar el Uso de Mi Información Personal Sensible"
Si su empresa usa o divulga información personal sensible más allá de lo necesario para proporcionar los bienes o servicios solicitados por el consumidor, también debe publicar un enlace "Limitar el Uso de Mi Información Personal Sensible".
Opción de Enlace Combinado
Las empresas que respetan las señales de preferencia de exclusión (como Global Privacy Control) pueden usar un único enlace combinado (por ejemplo, "Sus Opciones de Privacidad") en lugar de enlaces separados, siempre que ofrezcan una experiencia sin fricciones para los consumidores que usan esas señales.
Paso 5: Construya un Proceso de Manejo de Solicitudes de Consumidores
La CCPA otorga a los consumidores varios derechos que requieren que las empresas tengan procesos operativos establecidos. Construir estos procesos antes de que lleguen las solicitudes evita apuros de último momento y plazos incumplidos.
Tipos de Solicitudes a Manejar
| Tipo de Solicitud | Descripción | Plazo de Respuesta |
|---|---|---|
| Derecho a Saber | El consumidor pregunta qué información personal ha recolectado, vendido o compartido | 45 días (extendible a 90) |
| Derecho a Eliminar | El consumidor pide que elimine su información personal | 45 días (extendible a 90) |
| Derecho a Corregir | El consumidor pide que corrija información personal inexacta | 45 días (extendible a 90) |
| Derecho a Excluirse | El consumidor le indica que deje de vender o compartir sus datos | Actuar sobre la solicitud dentro de 15 días hábiles |
| Derecho a Limitar la Información Personal Sensible | El consumidor le indica que limite el uso de información personal sensible | Actuar sobre la solicitud dentro de 15 días hábiles |
Canales de Recepción
Proporcione al menos dos métodos para que los consumidores presenten solicitudes. Para las empresas que operan principalmente en línea, las regulaciones de la CPPA exigen:
- Un formulario web interactivo
- Una dirección de correo electrónico, número gratuito o dirección postal
Las solicitudes de exclusión deben poder presentarse sin exigir que el consumidor cree una cuenta.
Proceso de Verificación
Antes de cumplir con una solicitud de conocer, eliminar o corregir información personal, debe verificar la identidad del solicitante. El nivel de verificación debe corresponder a la sensibilidad de la información involucrada:
- Para el acceso a categorías de datos: Coincidir al menos dos puntos de datos que el consumidor proporciona con la información que ya mantiene
- Para el acceso a información específica: Coincidir al menos tres puntos de datos y obtener una declaración firmada bajo pena de perjurio
- Para las solicitudes de eliminación: Coincidir al menos dos puntos de datos
No puede solicitar más información personal de la necesaria para la verificación. Cualquier información recolectada con fines de verificación solo puede usarse para ese propósito.
Cronograma de Respuesta
- Confirme la recepción dentro de 10 días hábiles, informando al consumidor sobre el proceso de verificación
- Complete la solicitud dentro de 45 días calendario desde su recepción
- Si se necesita más tiempo, notifique al consumidor sobre la extensión y la razón antes de que expire el plazo de 45 días
- Período máximo de respuesta: 90 días calendario desde la recepción
Si deniega una solicitud (total o parcialmente), explique la razón e informe al consumidor sobre su derecho a presentar una queja.
Paso 6: Respete las Señales de Preferencia de Exclusión
Las empresas deben detectar y respetar las señales de preferencia de exclusión enviadas por los navegadores o dispositivos de los consumidores. La señal más común es Global Privacy Control (GPC).
Implementación Técnica
- Configure su sitio web para detectar la señal GPC (el encabezado HTTP
Sec-GPC: 1) - Cuando se detecte, trate la señal como una solicitud válida de exclusión de venta e intercambio
- No muestre una ventana emergente pidiendo al consumidor que confirme la señal
- No exija que el consumidor realice pasos adicionales
El acuerdo de la Fiscalía General con Sephora en 2022 estableció que la falta de respeto a las señales GPC constituye una infracción de la CCPA. La investigación conjunta de California, Colorado y Connecticut de 2025 señala además que el cumplimiento en torno a las señales de preferencia de exclusión es una prioridad.
Paso 7: Revise y Actualice los Contratos con Proveedores
La CCPA exige términos contractuales específicos con toda entidad que procese información personal en su nombre.
Acuerdos con Proveedores de Servicios
Los contratos con proveedores de servicios deben:
- Identificar los propósitos comerciales específicos para los que el proveedor de servicios procesa información personal
- Prohibir que el proveedor de servicios venda o comparta la información personal
- Prohibir el uso de los datos para cualquier propósito distinto de los propósitos comerciales contratados
- Exigir que el proveedor de servicios le notifique si ya no puede cumplir con sus obligaciones bajo la CCPA
- Exigir cooperación con las solicitudes de derechos de los consumidores (eliminación, acceso, corrección)
- Incluir requisitos de retención y eliminación de datos
Acuerdos con Contratistas
Los contratos con contratistas deben incluir las mismas disposiciones que los acuerdos con proveedores de servicios, además de:
- Una certificación de que el contratista comprende las restricciones de la CCPA y las cumplirá
- Una concesión de derechos a la empresa para tomar medidas razonables que aseguren que el contratista use la información personal de manera consistente con las obligaciones de la empresa bajo la CCPA
Divulgaciones a Terceros
Si vende o comparte información personal con terceros, sus acuerdos deben especificar los propósitos para los que el tercero puede usar la información y exigir que el tercero cumpla con la CCPA.
Paso 8: Implemente Capacitación para Empleados
Las personas responsables de atender las consultas de los consumidores sobre sus prácticas de privacidad deben estar capacitadas en los requisitos de la CCPA. La página de la CCPA de la Fiscalía General de California especifica que esta capacitación debe cubrir:
- Cómo orientar a los consumidores para ejercer sus derechos
- Cómo procesar y responder a cada tipo de solicitud del consumidor
- Procedimientos de verificación
- Plazos y requisitos de documentación
- Cómo escalar solicitudes inusuales o complejas
Documente su programa de capacitación, incluyendo quién fue capacitado, cuándo y sobre qué temas. Esta documentación puede servir como evidencia de cumplimiento de buena fe en caso de una investigación.
Paso 9: Realice Evaluaciones de Riesgo (Requisito de 2026)
Bajo las regulaciones finalizadas en septiembre de 2025, las empresas deben realizar evaluaciones de riesgo para las actividades de procesamiento que presenten un riesgo significativo para la privacidad del consumidor.
Cuándo Se Requieren las Evaluaciones de Riesgo
- Vender o compartir información personal
- Procesar información personal sensible
- Usar tecnología de toma de decisiones automatizada (ADMT) para decisiones significativas
- Procesar información personal de menores o consumidores que se sepa que son menores de 16 años
- Procesar información personal de maneras que presenten un riesgo significativo para la privacidad o seguridad del consumidor
Qué Debe Incluir una Evaluación de Riesgo
Cada evaluación de riesgo debe:
- Identificar la actividad de procesamiento y la información personal involucrada
- Describir los propósitos y beneficios del procesamiento
- Identificar los riesgos potenciales para la privacidad de los consumidores
- Sopesar los beneficios frente a los riesgos
- Documentar las salvaguardas que la empresa ha implementado para mitigar los riesgos identificados
Las empresas deben presentar a la CPPA una certificación de que completaron todas las evaluaciones de riesgo requeridas y un resumen de sus conclusiones antes del 1 de abril de 2028.
Paso 10: Realice Auditorías de Ciberseguridad (Requisito de 2026)
El mismo paquete regulatorio de 2026 exige que ciertas empresas realicen auditorías anuales de ciberseguridad.
Quién Debe Realizar Auditorías
Las empresas cuyo procesamiento de información personal presenta un "riesgo significativo para la seguridad de los consumidores" deben realizar auditorías anuales de ciberseguridad. El umbral considera factores como el volumen y la sensibilidad de los datos procesados y el historial de incidentes de seguridad de la empresa.
Alcance de la Auditoría
La auditoría de ciberseguridad debe evaluar si las prácticas de seguridad de la empresa son adecuadas dado la naturaleza, el alcance y el propósito del procesamiento de datos. La auditoría debe evaluar:
- Salvaguardas contra el acceso, destrucción, uso, modificación o divulgación no autorizados
- Proceso para identificar y abordar vulnerabilidades
- Capacidades de respuesta a incidentes
- Capacitación y concientización de los empleados en materia de seguridad
- Controles de acceso físicos y técnicos
Las empresas deben presentar una certificación a la CPPA confirmando la finalización de la auditoría y resumiendo los hallazgos.
Paso 11: Establezca un Monitoreo Continuo
El cumplimiento de la CCPA no es un proyecto único. Cree procesos de monitoreo y actualización continuos.
Tareas Anuales
- Actualizar la política de privacidad al menos cada 12 meses
- Revisar el mapeo de datos para identificar nuevas categorías de recolección, nuevos proveedores o propósitos modificados
- Auditar los contratos con proveedores para verificar las disposiciones requeridas por la CCPA
- Realizar la auditoría de ciberseguridad (si aplica bajo las regulaciones de 2026)
- Completar las evaluaciones de riesgo para nuevas actividades de procesamiento de alto riesgo
- Renovar la capacitación de empleados anualmente
Actualizaciones Activadas por Eventos
- Al cruzar un nuevo umbral de aplicabilidad
- Al agregar una nueva categoría de recolección de información personal
- Al contratar a un nuevo proveedor de servicios, contratista o tercero
- Al recibir un aviso o consulta de cumplimiento de la CPPA
- Cuando se modifica una regulación relevante
Errores Comunes de Cumplimiento
Según las acciones de cumplimiento y los avisos de la CPPA, las fallas de cumplimiento más frecuentes incluyen:
- No respetar las señales GPC: El acuerdo con Sephora estableció que ignorar las señales de exclusión a nivel de navegador infringe la CCPA
- Mecanismos de exclusión incompletos: El acuerdo con Disney reveló que algunos procesos de exclusión no detenían completamente la venta y el intercambio de datos
- Vender datos sin divulgación: Las empresas que comparten datos con socios de publicidad a menudo no logran reconocer ni divulgar estas transferencias como "ventas" o "intercambios"
- Enlaces faltantes o escondidos en la página de inicio: El enlace "No Vender ni Compartir" debe ser claro y visible, no oculto en un menú de pie de página
- Verificación inadecuada de solicitudes: Solicitar demasiada o muy poca información para verificar la identidad del consumidor
- Políticas de privacidad desactualizadas: No actualizar la política de privacidad anualmente o después de cambios importantes
Recursos Relacionados sobre Privacidad en California
- ¿Qué Es la CCPA? (resumen integral de la CCPA)
- CCPA vs CPRA: Diferencias Clave Explicadas
- Leyes de Privacidad de Datos de California (centro principal)
- Derechos de Exclusión de la CCPA
- Leyes de Privacidad Biométrica de California
- Leyes de Notificación de Filtraciones de Datos de California
Este artículo proporciona información legal general, no asesoría legal. Las regulaciones de la CCPA continúan evolucionando, y los requisitos pueden cambiar. Consulte a un abogado para obtener asesoría específica sobre su situación.
Más Leyes de California
- Leyes de Grabación de Reuniones con IA de California
- Leyes de Pensión Alimenticia Conyugal de California
- Leyes de Empleo a Voluntad de California
- Leyes de Accidentes Automovilísticos de California
- Leyes de Asientos de Seguridad para Niños de California
- Leyes de Custodia de Menores de California
- Leyes de Manutención Infantil de California
- Leyes de Matrimonio de Hecho de California
- Leyes sobre Deepfakes de California
- Leyes de Divorcio de California
- Leyes sobre Mordeduras de Perro de California
- Leyes de Emancipación de California
- Leyes de Eliminación de Antecedentes Penales de California
- Leyes sobre Atropello y Fuga de California
- Leyes de Propietarios e Inquilinos de California
- Ley del Limón de California
Preguntas frecuentes
¿Cuál es el primer paso en el cumplimiento de la CCPA?
Determine si la CCPA se aplica a su empresa verificando los tres umbrales de aplicabilidad: ingresos brutos anuales superiores a $26.625 millones, compra/venta/intercambio de datos de 100,000 o más residentes de California, o derivar el 50% o más de los ingresos de la venta o el intercambio de datos. Si cumple con cualquiera de estos umbrales, la CCPA se aplica.
¿Con qué frecuencia debe actualizarse una política de privacidad de la CCPA?
La CCPA exige que las empresas actualicen su política de privacidad al menos cada 12 meses. La política debe reflejar cualquier cambio en las prácticas de recolección de datos, los procesos de derechos del consumidor o las categorías de información personal recolectada, vendida o compartida durante el año anterior.
¿Cuál es el plazo de respuesta de la CCPA para las solicitudes de los consumidores?
Las empresas deben confirmar la recepción de una solicitud del consumidor dentro de 10 días hábiles y cumplirla dentro de 45 días calendario. Si se necesita más tiempo, la empresa puede extender el plazo por otros 45 días (90 días en total desde la recepción) notificando al consumidor antes de que expire el período inicial de 45 días.
¿Necesito un enlace de 'No Vender' en mi sitio web?
Si su empresa vende o comparte información personal con terceros (incluyendo compartir datos para publicidad dirigida), debe publicar un enlace claro y visible de 'No Vender ni Compartir Mi Información Personal' en su página de inicio. Las empresas que respeten las señales de preferencia de exclusión como GPC pueden usar un enlace combinado en su lugar.
¿Qué contratos necesito con mis proveedores bajo la CCPA?
La CCPA exige acuerdos escritos con proveedores de servicios y contratistas que especifiquen el propósito comercial del procesamiento de datos, prohíban vender o compartir los datos, restrinjan su uso a los propósitos contratados, exijan cooperación con las solicitudes de los consumidores, e incluyan términos de retención y eliminación de datos. Los acuerdos con contratistas también deben incluir una certificación de cumplimiento de la CCPA.
¿Se requieren evaluaciones de riesgo bajo la CCPA?
Sí, bajo las regulaciones vigentes desde el 1 de enero de 2026. Las empresas deben realizar evaluaciones de riesgo para las actividades de procesamiento que presenten un riesgo significativo para la privacidad del consumidor, incluyendo vender o compartir datos, procesar información personal sensible, usar tecnología de toma de decisiones automatizada, o procesar datos de menores. Las certificaciones deben presentarse a la CPPA antes del 1 de abril de 2028.
¿Qué sucede si mi empresa no cumple con la CCPA?
La CPPA o la Fiscalía General pueden imponer multas administrativas de hasta $2,663 por infracción no intencional y $7,988 por infracción intencional (montos de 2025 ajustados por el IPC). Para las filtraciones de datos causadas por seguridad inadecuada, los consumidores pueden presentar demandas privadas por $100 a $750 por persona por incidente. No existe un período de subsanación de 30 días.
¿Cómo verifico la identidad del consumidor para las solicitudes de la CCPA?
Haga coincidir al menos dos puntos de datos que el consumidor proporciona con la información que ya tiene para las solicitudes de eliminación y de acceso a nivel de categoría. Para las solicitudes de información personal específica, haga coincidir al menos tres puntos de datos y obtenga una declaración firmada bajo pena de perjurio. Solo recolecte la información necesaria para la verificación.
Fuentes y referencias
- Resumen de la CCPA (Fiscalía General de California)(oag.ca.gov).gov
- Portal de Regulaciones de la CPPA(cppa.ca.gov).gov
- Preguntas Frecuentes de la CPPA(cppa.ca.gov).gov
- Umbrales Monetarios Ajustados por el IPC(cppa.ca.gov).gov
- Actualizaciones de la CCPA: Auditorías de Ciberseguridad, Evaluaciones de Riesgo, Regulaciones de ADMT(cppa.ca.gov).gov
- La CPPA Finaliza las Regulaciones de Privacidad (Sept. 2025)(cppa.ca.gov).gov
- Regulaciones de la CPPA sobre la Consumer Privacy Act(cppa.ca.gov).gov
- Global Privacy Control (GPC)(oag.ca.gov).gov
- Acuerdo de la AG con Sephora ($1.2M)(oag.ca.gov).gov
- Ejemplos de Casos de Cumplimiento de la CCPA(oag.ca.gov).gov
- Investigación Conjunta: CA, CO, CT(cppa.ca.gov).gov
- Acuerdo de la AG con Disney ($2.75M)(oag.ca.gov).gov
- Texto completo de la CCPA (Cal. Civ. Code 1798.100-1798.199.100)(leginfo.legislature.ca.gov).gov