California
Derechos de Exclusión de la CCPA: No Vender ni Compartir Mi Información Personal (2026)

Bajo la California Consumer Privacy Act (CCPA), los residentes de California tienen el derecho de indicar a las empresas que dejen de vender o compartir su información personal. Este derecho de exclusión es una de las protecciones más poderosas del consumidor bajo la ley, y las enmiendas de la CPRA (vigentes desde el 1 de enero de 2023) ampliaron significativamente su alcance. Las empresas que venden o comparten información personal con fines de publicidad conductual entre contextos deben respetar las solicitudes de exclusión y proporcionar mecanismos claros para que los consumidores ejerzan este derecho.
La Fiscalía General de California y la California Privacy Protection Agency (CPPA) hacen cumplir activamente los requisitos de exclusión, con acuerdos que alcanzan millones de dólares por incumplimiento.
El Derecho a Optar por No Participar en la Venta
La CCPA original (vigente desde el 1 de enero de 2020) otorgó a los consumidores el derecho de indicar a una empresa que dejara de vender su información personal. Bajo el Cal. Civ. Code 1798.120, una empresa que vende información personal a terceros debe dejar de hacerlo una vez que recibe una solicitud de exclusión válida.
Qué Cuenta Como una "Venta"
La CCPA define "venta" de manera amplia. Cubre vender, alquilar, divulgar, difundir, poner a disposición, transferir, o de otro modo comunicar la información personal de un consumidor a otra empresa o tercero a cambio de una contraprestación monetaria o de otro tipo de valor.
"Otra contraprestación de valor" es la frase clave. Una empresa no necesita recibir dinero en efectivo por una transferencia de datos para que califique como venta. Si una empresa proporciona información personal a un tercero y recibe algún beneficio a cambio (descuentos, servicios, análisis, funcionalidad mejorada), esa transferencia podría constituir una venta bajo la CCPA.
Excepciones a la Definición de Venta
No toda transferencia de datos es una venta. La CCPA excluye:
- Las transferencias a proveedores de servicios o contratistas bajo acuerdos escritos conformes
- Las transferencias a solicitud del consumidor (por ejemplo, el consumidor le pide a la empresa que comparta sus datos)
- Las transferencias a un tercero como parte de una fusión, adquisición u operación similar
- Las transferencias de información que el consumidor puso intencionalmente a disposición del público en general a través de un canal de medios masivos
El Derecho a Optar por No Participar en el Intercambio
La CPRA amplió los derechos de exclusión más allá de la "venta" para incluir el "intercambio". Bajo el estatuto modificado, el intercambio significa poner la información personal de un consumidor a disposición de un tercero con fines de publicidad conductual entre contextos, ya sea que se intercambie dinero o no.
Por Qué Se Agregó el "Intercambio"
Antes de la CPRA, muchas empresas argumentaban que sus transferencias de datos a empresas de tecnología publicitaria no eran "ventas" porque no había un pago monetario directo. Una empresa podía proporcionar datos de usuarios a una red publicitaria a cambio de servicios de publicidad dirigida en lugar de dinero en efectivo. Bajo la CCPA original, esto creaba una laguna: los consumidores no podían excluirse de las transferencias de datos que impulsaban precisamente los anuncios dirigidos que querían evitar.
La CPRA cerró esta brecha. Al definir el "intercambio" como un concepto separado que cubre las transferencias de datos con fines de publicidad conductual entre contextos, la ley captura prácticamente todos los flujos comunes de datos de publicidad en línea, sin importar la forma de la contraprestación.
Publicidad Conductual Entre Contextos
La publicidad conductual entre contextos significa dirigir anuncios a un consumidor basándose en información personal obtenida de la actividad del consumidor en empresas, sitios web con marca distinta, aplicaciones o servicios diferentes al que el consumidor está usando en ese momento.
En términos prácticos, esto cubre:
- Cookies de rastreo de terceros que siguen a un consumidor de un sitio a otro para crear perfiles publicitarios
- El intercambio de datos con redes publicitarias que usan datos conductuales para servir anuncios dirigidos en distintas plataformas
- La reorientación (retargeting) basada en el historial de navegación de un consumidor en los sitios web de múltiples empresas
- Los acuerdos de sala limpia de datos (data clean room) donde las empresas agrupan datos de consumidores con fines publicitarios

Cómo Pueden Excluirse los Consumidores
La CCPA ofrece múltiples mecanismos para que los consumidores ejerzan sus derechos de exclusión.
El Enlace "No Vender ni Compartir"
Toda empresa que venda o comparta información personal debe publicar un enlace claro y visible en la página de inicio de su sitio web. Las regulaciones de la CPPA especifican que este enlace debe:
- Estar titulado: "No Vender ni Compartir Mi Información Personal" (la CPRA actualizó el lenguaje del original "No Vender Mi Información Personal")
- Ser visible: Fácil de encontrar sin desplazarse extensamente ni navegar por múltiples páginas
- Ser funcional: Dirigir a una página o mecanismo donde el consumidor pueda realmente presentar una solicitud de exclusión
- No requerir cuenta: La empresa no puede exigir que los consumidores creen una cuenta para excluirse
El mecanismo de exclusión debe ser sencillo. El consumidor presenta la solicitud, y la empresa debe actuar sobre ella. A diferencia de las solicitudes de conocer o eliminar, las solicitudes de exclusión no requieren verificación de identidad, aunque la empresa puede hacer preguntas básicas para identificar qué información personal está asociada con el consumidor.
Señales de Preferencia de Exclusión
La CPRA codificó el requisito de que las empresas deben respetar las señales de exclusión basadas en tecnología enviadas por los navegadores o dispositivos de los consumidores. Las regulaciones de la CPPA definen una "señal de preferencia de exclusión" como una señal enviada por una plataforma, tecnología o mecanismo en nombre del consumidor que comunica la decisión del consumidor de excluirse de la venta e intercambio de información personal.
Las empresas deben tratar estas señales como solicitudes de exclusión válidas sin exigir ninguna acción adicional por parte del consumidor.

Global Privacy Control (GPC)
Global Privacy Control es la señal de preferencia de exclusión más reconocida. GPC está disponible como:
- Una función integrada del navegador en Mozilla Firefox, DuckDuckGo y Brave
- Una extensión de navegador para Chrome, Edge y otros navegadores
- Una configuración en ciertas aplicaciones móviles enfocadas en la privacidad
Cuando está activado, GPC envía un encabezado HTTP Sec-GPC: 1 con cada solicitud web. Las empresas que reciben esta señal deben tratarla como una solicitud de exclusión de la venta e intercambio de información personal asociada con ese navegador o dispositivo.
Historial de Cumplimiento de GPC
La Fiscalía General de California ha hecho del cumplimiento de GPC una prioridad:
- Sephora (2022): Llegó a un acuerdo de $1.2 millones, en parte por no procesar las señales de exclusión GPC. Esta fue la primera acción de cumplimiento importante dirigida específicamente al incumplimiento de GPC.
- Disney (2024): Llegó a un acuerdo de $2.75 millones, el mayor acuerdo de la CCPA en la historia de California, después de que los investigadores encontraron que los procesos de exclusión de la empresa no detenían completamente la venta e intercambio de datos incluso cuando los consumidores tenían la sesión iniciada en sus cuentas.
- Investigación Conjunta (2025): La CPPA, junto con los reguladores de Colorado y Connecticut, lanzó una investigación coordinada sobre empresas que se negaban a respetar las solicitudes de exclusión de los consumidores, incluyendo las señales GPC.
Enlace de Exclusión Alternativo
Las empresas que procesan señales de preferencia de exclusión pueden usar un enlace único alternativo (como "Sus Opciones de Privacidad" o un icono de alternancia) en lugar del texto completo "No Vender ni Compartir Mi Información Personal". El enlace alternativo debe seguir dirigiendo a un mecanismo donde los consumidores puedan ejercer sus derechos de exclusión, y la empresa debe proporcionar una respuesta sin fricciones a las señales de preferencia de exclusión.
El Derecho a Limitar el Uso de Información Personal Sensible
La CPRA introdujo un derecho relacionado pero distinto: el derecho a limitar el uso y la divulgación que hace una empresa de la información personal sensible. Mientras que el derecho de exclusión cubre la venta e intercambio, el derecho de limitación restringe cómo una empresa usa internamente ciertas categorías de datos altamente sensibles.
Qué Es la Información Personal Sensible
Bajo la CCPA (modificada por la CPRA), la información personal sensible incluye:
- Números de Seguro Social, licencia de conducir, identificación estatal o pasaporte
- Credenciales de inicio de sesión de cuentas combinadas con códigos de seguridad o contraseñas requeridas
- Datos precisos de geolocalización
- Origen racial o étnico, estatus de ciudadanía o inmigración, creencias religiosas o filosóficas, o afiliación sindical
- Contenido de correo postal, correo electrónico y mensajes de texto (cuando la empresa no es el destinatario previsto)
- Datos genéticos
- Datos biométricos usados para identificar de manera única a un consumidor
- Información de salud, vida sexual o datos de orientación sexual
- Datos neuronales (agregados por la SB 1223, vigente desde 2025)
Cómo Funciona el Derecho de Limitación
Cuando un consumidor ejerce este derecho, la empresa debe limitar el uso de la información personal sensible a lo "razonablemente necesario y proporcional" para realizar los servicios o proporcionar los bienes que el consumidor solicitó. Específicamente, la empresa solo puede usar los datos sensibles para:
- Realizar el servicio o proporcionar los bienes que el consumidor espera
- Detectar incidentes de seguridad y protegerse contra amenazas
- Resistir actividades maliciosas, engañosas o ilegales
- Garantizar la seguridad física
- Uso transitorio de corto plazo (como mostrar contenido, donde los datos no se usan para crear un perfil)
- Realizar servicios en nombre de la empresa (investigación interna, depuración, control de calidad)
- Verificar o mantener la calidad de un servicio o dispositivo
Enlace "Limitar el Uso de Mi Información Personal Sensible"
Las empresas que usan o divulgan información personal sensible más allá de los propósitos permitidos enumerados anteriormente deben publicar un enlace "Limitar el Uso de Mi Información Personal Sensible" en su página de inicio. Este enlace funciona de manera similar al enlace "No Vender ni Compartir" pero aborda específicamente el uso de datos sensibles en lugar de la venta o el intercambio.
Proveedores de Servicios vs. Terceros: Por Qué Importa para la Exclusión
Entender la distinción entre proveedores de servicios, contratistas y terceros es fundamental para el cumplimiento de exclusión porque la CCPA trata las transferencias de datos a cada categoría de manera diferente.
Proveedores de Servicios y Contratistas
Cuando una empresa transfiere información personal a un proveedor de servicios o contratista bajo un acuerdo escrito conforme, esa transferencia no es una "venta" ni un "intercambio". El receptor de los datos está obligado por contrato a:
- Procesar los datos únicamente para los propósitos comerciales específicos identificados en el acuerdo
- No vender ni compartir la información personal
- No combinarla con información personal de otras fuentes (excepto para propósitos limitados)
- Ayudar a la empresa con las solicitudes de los consumidores
Debido a que estas transferencias no son ventas ni intercambios, las solicitudes de exclusión de los consumidores no se aplican a ellas.
Terceros
Un "tercero" bajo la CCPA es cualquier entidad que no es la empresa misma, un proveedor de servicios, o un contratista. Cuando la información personal va a un tercero, la transferencia probablemente sea una venta o un intercambio, y se aplica el derecho de exclusión del consumidor.
Los receptores terceros comunes incluyen:
- Empresas de tecnología publicitaria que reciben datos de consumidores para publicidad dirigida
- Corredores de datos que agregan y revenden información de consumidores
- Plataformas de redes sociales que reciben datos de consumidores para segmentación publicitaria o análisis
- Socios de marketing que reciben datos de consumidores para promoción cruzada
Impacto Práctico
Una empresa que quiere evitar el requisito de "No Vender ni Compartir" y las obligaciones de exclusión puede reestructurar sus relaciones de datos. Al asegurarse de que todos los socios que reciben datos califiquen como proveedores de servicios o contratistas bajo acuerdos escritos conformes, la empresa puede argumentar que no ocurre ninguna "venta" ni "intercambio". Los contratos deben ser genuinos, con restricciones reales sobre cómo el receptor usa los datos.
La Ley Delete y la Plataforma DROP
California llevó los derechos de exclusión un paso más allá con la Delete Act (SB 362), que creó la Delete Request and Opt-Out Platform (DROP). Lanzada el 1 de enero de 2026, la DROP permite a los consumidores:
- Enviar una única solicitud de eliminación a todos los corredores de datos registrados en California
- Optar por no participar en la venta de su información personal por parte de todos los corredores de datos registrados a la vez
- Solicitar eliminación continua, exigiendo a los corredores de datos que eliminen continuamente la información personal del consumidor cada 45 días
Los corredores de datos registrados ante la CPPA deben participar en DROP. La plataforma simplifica lo que antes era un proceso que consumía mucho tiempo, de presentar solicitudes de exclusión individuales a potencialmente cientos de corredores de datos.
La CPPA ya ha tomado medidas de cumplimiento contra corredores de datos que no se registran, incluyendo multar a una firma de marketing en diciembre de 2025 por vender audiencias personalizadas sin el registro adecuado como corredor de datos.
Qué Sucede Después de Que un Consumidor Se Excluye
Una vez que una empresa recibe una solicitud de exclusión válida (ya sea a través del enlace de la página de inicio, una señal GPC, o la plataforma DROP):
- Dejar de vender o compartir la información personal del consumidor dentro de 15 días hábiles
- Notificar a los proveedores de servicios y contratistas para que dejen de vender o compartir los datos del consumidor (si aplica)
- No pedir al consumidor que vuelva a dar su consentimiento durante al menos 12 meses
- Continuar proporcionando un servicio equitativo (requisito de no discriminación)
Después de 12 meses, una empresa puede preguntarle al consumidor si le gustaría volver a participar. El proceso de reincorporación debe ser afirmativo e informado; la empresa no puede usar patrones oscuros ni lenguaje engañoso para presionar al consumidor.
Menores y Requisitos de Participación Afirmativa
Para los consumidores menores de 16 años, la configuración predeterminada se invierte. Las empresas no pueden vender ni compartir su información personal a menos que el consumidor (o, para los niños menores de 13 años, el padre o tutor del consumidor) opte afirmativamente por participar. Este requisito de "participación afirmativa" significa que las empresas deben obtener consentimiento explícito antes de vender o compartir los datos de un menor, incluso sin una solicitud de exclusión.
Sanciones por Infracciones de Exclusión
Las infracciones de los requisitos de exclusión conllevan las mismas sanciones administrativas que otras infracciones de la CCPA. A partir del ajuste del IPC de 2025:
| Infracción | Sanción |
|---|---|
| Infracción no intencional | Hasta $2,663 por infracción |
| Infracción intencional | Hasta $7,988 por infracción |
| Infracción que involucra a un menor | Hasta $7,988 por infracción |
Cada persona cuyo derecho de exclusión sea infringido puede representar una infracción separada. Para las empresas con millones de consumidores en California, las sanciones pueden acumularse rápidamente.
El mayor acuerdo de la CCPA hasta la fecha, el acuerdo de $2.75 millones con Disney, se centró específicamente en fallas de exclusión.
Temas Relacionados sobre Privacidad en California
- ¿Qué Es la CCPA? (resumen integral de la CCPA)
- CCPA vs CPRA: Diferencias Clave Explicadas
- Lista de Verificación de Cumplimiento de la CCPA
- Leyes de Privacidad de Datos de California (centro principal)
- Leyes de Privacidad Biométrica de California
- Leyes de Notificación de Filtraciones de Datos de California
Este artículo proporciona información legal general, no asesoría legal. Los requisitos de exclusión y las interpretaciones de cumplimiento continúan evolucionando. Consulte a un abogado para obtener asesoría específica sobre su situación.
Más Leyes de California
- Leyes de Grabación de Reuniones con IA de California
- Leyes de Pensión Alimenticia Conyugal de California
- Leyes de Empleo a Voluntad de California
- Leyes de Accidentes Automovilísticos de California
- Leyes de Asientos de Seguridad para Niños de California
- Leyes de Custodia de Menores de California
- Leyes de Manutención Infantil de California
- Leyes de Matrimonio de Hecho de California
- Leyes sobre Deepfakes de California
- Leyes de Divorcio de California
- Leyes sobre Mordeduras de Perro de California
- Leyes de Emancipación de California
- Leyes de Eliminación de Antecedentes Penales de California
- Leyes sobre Atropello y Fuga de California
- Leyes de Propietarios e Inquilinos de California
- Ley del Limón de California
Preguntas frecuentes
¿Qué es el derecho a excluirse bajo la CCPA?
La CCPA otorga a los residentes de California el derecho de indicar a cualquier empresa que deje de vender o compartir su información personal con terceros. Después de que las enmiendas de la CPRA entraron en vigor en 2023, el derecho de exclusión cubre tanto la 'venta' (transferencias a cambio de una contraprestación monetaria o de otro valor) como el 'intercambio' (transferencias con fines de publicidad conductual entre contextos).
¿Cuál es la diferencia entre 'vender' y 'compartir' información personal?
'Vender' cubre transferir información personal a cambio de una contraprestación monetaria o de otro valor. 'Compartir' cubre específicamente poner la información personal a disposición de terceros con fines de publicidad conductual entre contextos, incluso sin pago. La CPRA agregó 'compartir' para cerrar una laguna donde las empresas argumentaban que las transferencias de datos relacionadas con publicidad no eran 'ventas' porque no se intercambiaba dinero en efectivo.
¿Qué es Global Privacy Control (GPC)?
GPC es una señal basada en el navegador que le indica automáticamente a los sitios web que visita que desea excluirse de la venta e intercambio de su información personal. Está integrado en navegadores como Firefox, DuckDuckGo y Brave, y disponible como extensión para Chrome y Edge. Las empresas de California deben respetar las señales GPC como solicitudes de exclusión válidas bajo la CCPA.
¿Puede una empresa exigirme que cree una cuenta para excluirme?
No. La CCPA prohíbe que las empresas exijan a los consumidores crear una cuenta para presentar una solicitud de exclusión. El enlace 'No Vender ni Compartir Mi Información Personal' debe dirigir a un mecanismo que permita la exclusión sin crear una cuenta. Las empresas pueden hacer preguntas básicas para identificar los datos del consumidor pero no pueden agregar fricción innecesaria.
¿Qué es el enlace 'No Vender ni Compartir Mi Información Personal'?
Este es un enlace requerido en la página de inicio para cualquier empresa que venda o comparta la información personal de consumidores de California. Al hacer clic, debe dirigir a una página o mecanismo donde el consumidor pueda presentar una solicitud de exclusión. El enlace debe ser claro y visible. Las empresas que respetan las señales GPC pueden usar un enlace combinado alternativo como 'Sus Opciones de Privacidad'.
¿En qué se diferencia excluirse de limitar la información personal sensible?
Excluirse evita que una empresa venda o comparta su información personal con terceros. Limitar la información personal sensible restringe cómo la propia empresa usa ciertos datos altamente sensibles (como números de Seguro Social, geolocalización precisa o datos raciales) solo a los propósitos necesarios para proporcionar los bienes o servicios que usted solicitó.
¿Qué es la plataforma DROP?
La Delete Request and Opt-Out Platform (DROP) es un sistema operado por la CPPA lanzado el 1 de enero de 2026. Permite a los consumidores enviar una única solicitud de exclusión y eliminación a todos los corredores de datos registrados en California a la vez, con eliminación continua cada 45 días. Los corredores de datos deben registrarse ante la CPPA y participar en DROP.
¿Qué sanciones enfrentan las empresas por ignorar las solicitudes de exclusión?
Las empresas que no respeten las solicitudes de exclusión enfrentan sanciones administrativas de hasta $2,663 por infracción no intencional y $7,988 por infracción intencional o infracciones que involucren a menores (montos ajustados por el IPC de 2025). Cada consumidor afectado puede contar como una infracción separada, por lo que las sanciones pueden alcanzar millones. El acuerdo con Disney ($2.75 millones) es el mayor caso de la CCPA hasta la fecha, centrado en fallas de exclusión.
Fuentes y referencias
- Texto completo de la CCPA (Cal. Civ. Code 1798.100-1798.199.100)(leginfo.legislature.ca.gov).gov
- Resumen de la CCPA (Fiscalía General de California)(oag.ca.gov).gov
- Portal de Regulaciones de la CPPA(cppa.ca.gov).gov
- Preguntas Frecuentes de la CPPA (Información Personal Sensible, Definición de Intercambio)(cppa.ca.gov).gov
- Regulaciones de la CPPA sobre la Consumer Privacy Act(cppa.ca.gov).gov
- Global Privacy Control (GPC)(oag.ca.gov).gov
- Acuerdo de la AG con Sephora ($1.2M, Cumplimiento de GPC)(oag.ca.gov).gov
- Acuerdo de la AG con Disney ($2.75M, Fallas de Exclusión)(oag.ca.gov).gov
- Investigación Conjunta: CA, CO, CT (Cumplimiento de Exclusión)(cppa.ca.gov).gov
- Montos de Sanción Ajustados por el IPC(cppa.ca.gov).gov
- Ley Delete: Plataforma Drop(cppa.ca.gov).gov
- Cumplimiento de la CPPA contra Corredores de Datos (Dic. 2025)(cppa.ca.gov).gov
- SB 1223 (Datos Neuronales como Información Personal Sensible)(leginfo.legislature.ca.gov).gov
- Acuerdo de la AG con DoorDash ($375K)(oag.ca.gov).gov