California
CCPA vs CPRA: Diferencias Clave Explicadas (2026)

El marco de privacidad del consumidor de California ha evolucionado significativamente desde que la California Consumer Privacy Act (CCPA) entró en vigor por primera vez en 2020. En noviembre de 2020, los votantes de California aprobaron la Proposición 24, la California Privacy Rights Act (CPRA), que modificó la CCPA para fortalecer las protecciones del consumidor, crear nuevos derechos y establecer una agencia de cumplimiento dedicada.
La CPRA no reemplazó a la CCPA. Se construyó sobre ella. El estatuto oficial todavía se titula "California Consumer Privacy Act of 2018", pero sus disposiciones ahora incluyen todos los cambios que introdujo la CPRA. Entender qué cambió, y cuándo, es esencial para las empresas que navegan el cumplimiento de la privacidad en California en 2026.
Cronología: De la CCPA a la CPRA
Entender la cronología ayuda a aclarar qué disposiciones se aplican y cuándo entraron en vigor.
| Fecha | Evento |
|---|---|
| 28 de junio de 2018 | El Gobernador Brown firma la AB 375, la California Consumer Privacy Act |
| 1 de enero de 2020 | La CCPA entra en vigor |
| 1 de julio de 2020 | La Fiscalía General de California comienza a hacer cumplir la CCPA |
| 3 de noviembre de 2020 | Los votantes de California aprueban la Proposición 24 (CPRA) con el 56.2% de los votos |
| 1 de enero de 2023 | Las enmiendas de la CPRA a la CCPA entran en vigor; se aplican a los datos recolectados a partir del 1 de enero de 2022 |
| 29 de marzo de 2023 | La CPPA finaliza el primer conjunto de regulaciones de la CCPA |
| 1 de julio de 2023 | La CPPA comienza operaciones de cumplimiento, compartiendo autoridad con la Fiscalía General |
| 1 de enero de 2025 | Entran en vigor los montos de sanción ajustados por el IPC |
| 23 de septiembre de 2025 | La CPPA finaliza las regulaciones sobre auditorías de ciberseguridad, evaluaciones de riesgo y ADMT |
| 1 de enero de 2026 | Entran en vigor las nuevas regulaciones; se lanza la plataforma DROP |
| 1 de enero de 2027 | Los requisitos de ADMT se vuelven exigibles |
Comparación Lado a Lado: CCPA (Original) vs. Enmiendas de la CPRA
La siguiente tabla compara las disposiciones originales de la CCPA con lo que la CPRA modificó o agregó.
| Característica | CCPA (Original, 2020) | Después de las Enmiendas de la CPRA (2023+) |
|---|---|---|
| Derecho del consumidor a saber | Sí | Sí (sin cambios) |
| Derecho a eliminar | Sí | Sí (sin cambios) |
| Derecho a excluirse de la venta | Solo venta | Venta E intercambio para publicidad conductual entre contextos |
| Derecho a corregir | No | Sí |
| Derecho a limitar el uso de información personal sensible | No | Sí |
| Derecho a acceder a información sobre ADMT | No | Sí (vigente desde 2027) |
| No discriminación | Sí | Sí (sin cambios) |
| Información personal sensible | No definida por separado | Definida como categoría distinta con protecciones especiales |
| Organismo de cumplimiento | Solo la Fiscalía General | Fiscalía General Y la CPPA |
| Montos de sanción | $2,500 / $7,500 por infracción | Ajustados bienalmente por el IPC ($2,663 / $7,988 a partir de 2025) |
| Reglas de proveedores de servicios | Requisitos básicos | Obligaciones ampliadas para proveedores de servicios Y una nueva categoría de "contratista" |
| Evaluaciones de riesgo | No requeridas | Requeridas para el procesamiento de alto riesgo (regulaciones vigentes desde 2026) |
| Auditorías de ciberseguridad | No requeridas | Requeridas para ciertas empresas (regulaciones vigentes desde 2026) |
| Señales de preferencia de exclusión | No exigidas explícitamente | Las empresas deben respetar GPC y señales similares |
| Minimización de datos | No explícita | Las empresas solo pueden recolectar datos razonablemente necesarios para los propósitos divulgados |
| Período de subsanación | Período de subsanación de 30 días antes del cumplimiento de la AG | Eliminado (la CPPA puede multar sin período de subsanación) |
Nuevos Derechos del Consumidor Bajo la CPRA
La CPRA agregó dos derechos completamente nuevos y amplió uno existente.
Derecho a Corregir Información Personal Inexacta
Los consumidores ahora pueden solicitar que una empresa corrija información personal inexacta que mantiene. La empresa debe usar esfuerzos comercialmente razonables para corregir los datos después de recibir una solicitud verificada.
Este derecho no existía bajo la CCPA original. Refleja disposiciones similares en el Reglamento General de Protección de Datos de la Unión Europea (RGPD).
Derecho a Limitar el Uso de Información Personal Sensible
La CPRA creó el concepto de información personal sensible como una categoría legal distinta. Los consumidores pueden indicar a las empresas que limiten su uso de información personal sensible a lo estrictamente necesario para realizar los servicios o proporcionar los bienes que el consumidor solicitó.
La información personal sensible incluye:
- Identificadores gubernamentales (números de Seguro Social, números de licencia de conducir)
- Credenciales de cuentas financieras
- Geolocalización precisa
- Origen racial o étnico, creencias religiosas, afiliación sindical
- Contenido de comunicaciones privadas (correo postal, correo electrónico, mensajes de texto)
- Datos genéticos y biométricos
- Información de salud, vida sexual o datos de orientación sexual
- Datos neuronales (agregados por la SB 1223 en 2024)
Las empresas que usan o divulgan información personal sensible más allá de lo necesario deben publicar un enlace "Limitar el Uso de Mi Información Personal Sensible" en su página de inicio.
Exclusión Ampliada: Venta Y Intercambio
La CCPA original otorgó a los consumidores el derecho a excluirse de la "venta" de su información personal. La CPRA amplió esto para incluir el "intercambio", que el estatuto define como poner la información personal a disposición de un tercero con fines de publicidad conductual entre contextos.
Este cambio cerró una laguna importante. Bajo la CCPA original, algunas empresas argumentaban que transferir datos a socios publicitarios no era una "venta" porque no se intercambiaba dinero. La definición más amplia de "intercambio" de la CPRA captura estas transferencias de datos sin importar si hay contraprestación monetaria involucrada.
El enlace requerido en la página de inicio cambió de "No Vender Mi Información Personal" a "No Vender ni Compartir Mi Información Personal".
La CPPA: Una Nueva Agencia de Cumplimiento
Uno de los cambios estructurales más significativos de la CPRA fue la creación de la California Privacy Protection Agency, la primera agencia en Estados Unidos dedicada exclusivamente al cumplimiento de la privacidad de datos del consumidor.
CPPA vs. Cumplimiento por la Fiscalía General
| Aspecto | Fiscalía General | CPPA |
|---|---|---|
| Autoridad | Sanciones civiles mediante acción judicial | Multas administrativas mediante procedimientos de la CPPA |
| Período de subsanación | Originalmente tenía un período de subsanación de 30 días (eliminado por la CPRA) | Sin período de subsanación desde el inicio |
| Inicio del cumplimiento | 1 de julio de 2020 | 1 de julio de 2023 |
| Alcance | CCPA además de otras leyes de protección al consumidor | Cumplimiento específico de la CCPA además de elaboración de normas |
| Elaboración de normas | Adoptó las regulaciones iniciales de la CCPA | Ahora tiene la autoridad principal de elaboración de normas |
La CPPA ya ha demostrado un cumplimiento activo. En 2025, la agencia llegó a acuerdos contra American Honda Motor Co. ($632,500), Tractor Supply Company ($1.35 millones), y Todd Snyder, Inc. ($345,178).
Eliminación del Período de Subsanación de 30 Días
Bajo la CCPA original, la Fiscalía General tenía que dar a las empresas un aviso de 30 días para "subsanar" las infracciones antes de emprender acciones de cumplimiento. La CPRA eliminó por completo este período de subsanación. La CPPA ahora puede emitir multas de inmediato al encontrar una infracción.
Obligaciones de los Contratistas: Una Nueva Categoría
La CCPA original regulaba a las "empresas" y a los "proveedores de servicios". La CPRA agregó una tercera categoría: "contratistas".
Proveedores de Servicios vs. Contratistas
| Característica | Proveedor de Servicios | Contratista |
|---|---|---|
| Relación | Procesa datos en nombre de la empresa | Recibe datos de la empresa mediante un contrato escrito |
| Requisito de contrato | Sí | Sí |
| Puede vender/compartir datos | No | No |
| Debe eliminar a solicitud | Sí | Sí |
| Requisito de certificación | Términos contractuales básicos | Debe certificar que comprende y cumplirá con las restricciones de la CCPA |
| Subprocesamiento | Puede contratar subprocesadores con protecciones equivalentes | Restricciones similares |
Las empresas deben incluir disposiciones específicas conformes con la CCPA en sus contratos tanto con proveedores de servicios como con contratistas, incluyendo prohibiciones de vender o compartir los datos, limitaciones de retención, y requisitos de asistencia con las solicitudes de derechos de los consumidores.
Evaluaciones de Riesgo y Auditorías de Ciberseguridad
La CPRA instruyó a la CPPA a desarrollar regulaciones que exigieran a ciertas empresas realizar evaluaciones de riesgo de privacidad y auditorías de ciberseguridad. La CPPA finalizó estas regulaciones en septiembre de 2025, vigentes desde el 1 de enero de 2026.
Requisitos de Evaluación de Riesgo
Las empresas deben realizar evaluaciones de riesgo para las actividades de procesamiento que presenten un "riesgo significativo" para la privacidad del consumidor. Esto incluye:
- Vender o compartir información personal
- Procesar información personal sensible
- Usar tecnología de toma de decisiones automatizada para decisiones significativas
- Procesar información personal de menores o consumidores que la empresa sepa que son menores de 16 años
Las evaluaciones de riesgo deben sopesar los beneficios del procesamiento frente a los riesgos potenciales para la privacidad del consumidor. Las empresas deben presentar certificaciones y resúmenes a la CPPA antes del 1 de abril de 2028.
Requisitos de Auditoría de Ciberseguridad
Ciertas empresas deben realizar auditorías anuales de ciberseguridad que evalúen si sus prácticas de seguridad son adecuadas para la naturaleza y el volumen de información personal que procesan. La auditoría debe evaluar la capacidad de la empresa para:
- Proteger la información personal del acceso, destrucción, uso, modificación o divulgación no autorizados
- Identificar y abordar brechas de seguridad
- Responder a incidentes de seguridad
Señales de Preferencia de Exclusión
La CPRA codificó el concepto de señales de preferencia de exclusión (OOPS, por sus siglas en inglés), exigiendo a las empresas tratar las señales de privacidad a nivel de navegador como solicitudes de exclusión válidas.
Global Privacy Control (GPC)
La señal de preferencia de exclusión más utilizada es Global Privacy Control (GPC), disponible como función integrada en navegadores como Mozilla Firefox, DuckDuckGo y Brave, o como extensión de navegador.
Cuando GPC está activado, envía automáticamente una señal a cada sitio web que visita el consumidor indicando que desea excluirse de la venta e intercambio de su información personal. Las empresas deben respetar esta señal de la misma manera en que respetarían a un consumidor que hace clic en el enlace "No Vender ni Compartir Mi Información Personal".
La acción de cumplimiento de la Fiscalía General contra Sephora en 2022 se basó en parte en el hecho de que la empresa no reconocía las señales GPC. En 2025, la AG y la CPPA lanzaron una investigación conjunta con Colorado y Connecticut para investigar a empresas que se negaban a respetar las señales de preferencia de exclusión.
Enlaces de Exclusión Alternativos
Las empresas que procesan señales de preferencia de exclusión pueden usar un único enlace combinado (como "Sus Opciones de Privacidad") en lugar de enlaces separados de "No Vender ni Compartir" y "Limitar el Uso de Mi Información Personal Sensible", siempre que la respuesta a la señal sea sin fricciones para el consumidor.
Tecnología de Toma de Decisiones Automatizada (ADMT)
La disposición más orientada al futuro de la CPRA aborda la tecnología de toma de decisiones automatizada. Bajo las regulaciones finalizadas en 2025:
- Las empresas que usan ADMT para tomar "decisiones significativas" sobre los consumidores deben proporcionar aviso previo al uso
- Los consumidores pueden solicitar información sobre cómo se usó ADMT en decisiones que los afectan
- Los consumidores pueden excluirse de ciertos usos de ADMT
- Estos requisitos entran en vigor el 1 de enero de 2027
Las decisiones significativas incluyen aquellas que producen efectos legales o de importancia similar en relación con el acceso a servicios financieros, vivienda, seguros, educación, empleo, atención médica, o bienes y servicios esenciales.
Minimización de Datos y Limitación de Propósito
La CPRA introdujo requisitos explícitos de minimización de datos que la CCPA original no tenía. Bajo el estatuto modificado, las empresas:
- Solo pueden recolectar información personal que sea "razonablemente necesaria y proporcional" para lograr los propósitos para los cuales se recolectó o procesó
- No pueden retener información personal más tiempo del razonablemente necesario para el propósito divulgado
- No pueden usar información personal para propósitos incompatibles con los divulgados al momento de la recolección sin proporcionar un nuevo aviso
Estos requisitos alinean más estrechamente la ley de California con los principios de minimización de datos del RGPD.
Impacto Práctico para las Empresas
El cambio de la CCPA original a la versión modificada por la CPRA afecta las operaciones diarias de varias maneras concretas:
- Las políticas de privacidad necesitan actualizarse para abordar los nuevos derechos (corrección, limitación de información personal sensible) y las nuevas categorías (contratistas)
- Los enlaces de la página de inicio cambiaron de "No Vender Mi Información Personal" a "No Vender ni Compartir Mi Información Personal" con un enlace opcional de "Limitar el Uso de Mi Información Personal Sensible"
- Los contratos con proveedores deben distinguir entre proveedores de servicios y contratistas con los términos apropiados de la CCPA
- La infraestructura técnica debe detectar y respetar las señales de preferencia de exclusión como GPC
- Los programas de evaluación de riesgo ahora son obligatorios para las empresas que procesan datos de maneras de alto riesgo
- La capacitación de empleados debe cubrir los nuevos derechos, las nuevas categorías de datos y las nuevas realidades de cumplimiento
Para una guía paso a paso sobre cómo cumplir con estos requisitos, consulte nuestra Lista de Verificación de Cumplimiento de la CCPA.
Temas Relacionados sobre Privacidad en California
- ¿Qué Es la CCPA? (resumen integral de la CCPA)
- Leyes de Privacidad de Datos de California (centro principal)
- Lista de Verificación de Cumplimiento de la CCPA
- Derechos de Exclusión de la CCPA
- Leyes de Privacidad Biométrica de California
- Leyes de Notificación de Filtraciones de Datos de California
Este artículo proporciona información legal general, no asesoría legal. Las regulaciones de privacidad evolucionan con frecuencia, y las interpretaciones de cumplimiento cambian. Consulte a un abogado para obtener asesoría específica sobre su situación.
Más Leyes de California
- Leyes de Grabación de Reuniones con IA de California
- Leyes de Pensión Alimenticia Conyugal de California
- Leyes de Empleo a Voluntad de California
- Leyes de Accidentes Automovilísticos de California
- Leyes de Asientos de Seguridad para Niños de California
- Leyes de Custodia de Menores de California
- Leyes de Manutención Infantil de California
- Leyes de Matrimonio de Hecho de California
- Leyes sobre Deepfakes de California
- Leyes de Divorcio de California
- Leyes sobre Mordeduras de Perro de California
- Leyes de Emancipación de California
- Leyes de Eliminación de Antecedentes Penales de California
- Leyes sobre Atropello y Fuga de California
- Leyes de Propietarios e Inquilinos de California
- Ley del Limón de California
Preguntas frecuentes
¿Es la CPRA una ley separada de la CCPA?
No. La CPRA (Proposición 24) modificó la CCPA existente en lugar de crear un nuevo estatuto. La ley oficial todavía se titula California Consumer Privacy Act of 2018. Las referencias a la 'CCPA' ahora incluyen todos los cambios que introdujo la CPRA, los cuales entraron en vigor el 1 de enero de 2023.
¿Cuándo entró en vigor la CPRA?
Las enmiendas de la CPRA a la CCPA entraron en vigor el 1 de enero de 2023, y se aplican a la información personal recolectada a partir del 1 de enero de 2022. La CPPA comenzó a hacer cumplir estas disposiciones el 1 de julio de 2023. Regulaciones adicionales que cubren auditorías de ciberseguridad, evaluaciones de riesgo y ADMT entraron en vigor el 1 de enero de 2026.
¿Qué nuevos derechos otorgó la CPRA a los consumidores?
La CPRA agregó el derecho a corregir información personal inexacta y el derecho a limitar el uso que hace una empresa de la información personal sensible. También amplió el derecho de exclusión existente para cubrir el 'intercambio' con fines de publicidad conductual entre contextos, no solo la 'venta' de información personal.
¿Qué es la California Privacy Protection Agency (CPPA)?
La CPPA es una agencia estatal creada por la CPRA para implementar, interpretar y hacer cumplir la CCPA. Es la primera agencia gubernamental en EE. UU. dedicada exclusivamente a la privacidad del consumidor. La CPPA comparte la autoridad de cumplimiento con la Fiscalía General de California y tiene la autoridad principal de elaboración de normas para las regulaciones de la CCPA.
¿Las empresas todavía tienen un período de subsanación de 30 días por infracciones?
No. La CPRA eliminó el período de subsanación de 30 días que existía bajo la CCPA original. La CPPA ahora puede emprender acciones de cumplimiento e imponer multas de inmediato al encontrar una infracción, sin darle a la empresa la oportunidad de corregir el problema primero.
¿Qué son las señales de preferencia de exclusión bajo la CPRA?
Las señales de preferencia de exclusión son configuraciones basadas en el navegador (como Global Privacy Control) que comunican automáticamente la decisión de un consumidor de excluirse de la venta e intercambio de su información personal. Las empresas deben tratar estas señales como solicitudes de exclusión válidas, tal como lo harían con un consumidor que hace clic en el enlace 'No Vender ni Compartir'.
¿Cuál es la diferencia entre un proveedor de servicios y un contratista bajo la CCPA?
Ambos son entidades que procesan información personal en nombre de una empresa bajo un contrato escrito. La diferencia clave está en la relación contractual: los contratistas deben certificar que comprenden y cumplirán con las restricciones de la CCPA. A ambos se les prohíbe vender o compartir los datos y deben ayudar con las solicitudes de derechos de los consumidores.
¿Se requieren ahora auditorías de ciberseguridad bajo la CCPA?
Sí, para ciertas empresas. Las regulaciones finalizadas en septiembre de 2025 (vigentes desde el 1 de enero de 2026) exigen que las empresas cuyo procesamiento presente un riesgo significativo para la privacidad del consumidor realicen auditorías anuales de ciberseguridad y presenten certificaciones a la CPPA antes del 1 de abril de 2028.
Fuentes y referencias
- Texto completo de la CCPA (Cal. Civ. Code 1798.100-1798.199.100)(leginfo.legislature.ca.gov).gov
- Portal de Leyes y Regulaciones de la CPPA(cppa.ca.gov).gov
- Resumen de la CCPA (Fiscalía General de California)(oag.ca.gov).gov
- Preguntas Frecuentes de la CPPA(cppa.ca.gov).gov
- Estatuto de la CCPA Vigente desde el 1 de Enero de 2026(cppa.ca.gov).gov
- Umbrales Monetarios Ajustados por el IPC(cppa.ca.gov).gov
- Actualizaciones de la CCPA: Auditorías de Ciberseguridad, Evaluaciones de Riesgo, ADMT(cppa.ca.gov).gov
- La CPPA Finaliza las Regulaciones de Privacidad (Sept. 2025)(cppa.ca.gov).gov
- Global Privacy Control (GPC)(oag.ca.gov).gov
- Acuerdo de la AG con Sephora ($1.2M)(oag.ca.gov).gov
- Acuerdo de la CPPA con Honda ($632,500)(cppa.ca.gov).gov
- Investigación Conjunta: CA, CO, CT (Cumplimiento de Exclusión)(cppa.ca.gov).gov
- Regulaciones de la CPPA sobre la Consumer Privacy Act(cppa.ca.gov).gov
- Ley Delete: Plataforma Drop(cppa.ca.gov).gov
- SB 1223 (Datos Neuronales)(leginfo.legislature.ca.gov).gov