California
¿Qué Es la CCPA? La Ley de Privacidad del Consumidor de California Explicada (2026)

La Ley de Privacidad del Consumidor de California (CCPA) es una ley histórica de privacidad de datos que otorga a los residentes de California un control significativo sobre cómo las empresas recopilan, usan y venden su información personal. Codificada en Cal. Civ. Code 1798.100-1798.199.100, la CCPA entró en vigor el 1 de enero de 2020 y desde entonces ha sido enmendada por la Ley de Derechos de Privacidad de California (CPRA) para ampliar aún más las protecciones al consumidor.
A partir de 2026, la CCPA se erige como uno de los estatutos de privacidad de datos más completos de Estados Unidos, cuya aplicación está a cargo tanto de la Fiscalía General de California como de la Agencia de Protección de la Privacidad de California (CPPA).
Cómo Surgió la CCPA (Ley de Privacidad del Consumidor de California)
La CCPA tiene un origen inusual para una legislación de esta magnitud. En 2017, el desarrollador inmobiliario de San Francisco Alastair Mactaggart comenzó a redactar una iniciativa de votación después de que, según se informa, un ingeniero de Google le dijera en una cena que los consumidores estarían "realmente preocupados" si entendieran cuántos datos recopilaban las empresas sobre ellos.
Mactaggart y su organización, Californians for Consumer Privacy, recolectaron más de 629,000 firmas para calificar la iniciativa en la boleta de noviembre de 2018. La campaña recaudó más de $3 millones, de los cuales Mactaggart financió personalmente la gran mayoría.
En lugar de dejar que los votantes decidieran directamente, la Legislatura de California llegó a un acuerdo. El 28 de junio de 2018, los legisladores aprobaron el Assembly Bill 375 en cuestión de días. El Gobernador Jerry Brown lo firmó ese mismo día. A cambio, Mactaggart retiró la iniciativa de votación.
La CCPA entró en vigor el 1 de enero de 2020, convirtiendo a California en el primer estado del país en otorgar a los consumidores amplios derechos sobre sus datos personales.

A Quién Se Aplica la CCPA
La CCPA cubre a las empresas con fines de lucro que recopilan información personal de residentes de California y cumplen con al menos uno de tres umbrales. La CPPA ajusta el umbral de ingresos cada dos años para tener en cuenta la inflación.
Umbrales de Aplicabilidad Empresarial (Ajuste de 2025)
| Umbral | Requisito |
|---|---|
| Ingresos brutos anuales | $26.625 millones o más en el año calendario anterior |
| Volumen de datos | Compra, vende o comparte información personal de 100,000 o más residentes u hogares de California |
| Ingresos por venta de datos | Obtiene el 50% o más de sus ingresos anuales de la venta o el intercambio de información personal de residentes de California |
Una empresa solo necesita cumplir con uno de estos umbrales para estar sujeta a la CCPA.
La ley se aplica independientemente de dónde esté ubicada físicamente la empresa. Una compañía con sede en Nueva York o Texas que recopila datos de residentes de California y cumple con un umbral está sujeta a la CCPA.
Quién NO Está Cubierto
Las organizaciones sin fines de lucro y las agencias gubernamentales generalmente están exentas. Ciertos tipos de datos también quedan excluidos, incluida la información médica regida por la HIPAA o la Ley de Confidencialidad de la Información Médica (CMIA), los datos cubiertos por la Ley Gramm-Leach-Bliley (instituciones financieras) y la información regulada bajo la Ley de Reporte Justo de Crédito (FCRA).
Qué Se Considera Información Personal
La CCPA define la "información personal" de manera amplia. Incluye cualquier información que identifique, se relacione, describa, sea razonablemente capaz de asociarse, o pueda razonablemente vincularse (directa o indirectamente) con un consumidor u hogar en particular.
Categorías de Información Personal
- Identificadores: Nombre, dirección postal, dirección de correo electrónico, número de Seguro Social, número de licencia de conducir, número de pasaporte, dirección IP, nombre de cuenta
- Registros de clientes: Información financiera, información de seguros, historial educativo, historial laboral
- Clasificaciones protegidas: Raza, etnia, religión, orientación sexual, identidad de género, discapacidad, condición de veterano
- Información comercial: Registros de compras, historiales de consumo, registros de propiedad
- Información biométrica: Huellas dactilares, huellas faciales, huellas de voz, escaneos de iris, patrones de pulsación de teclas
- Actividad en internet: Historial de navegación, historial de búsqueda, datos de interacción con sitios web o aplicaciones
- Datos de geolocalización: Ubicación física precisa
- Datos sensoriales: Información de audio, electrónica, visual, térmica, olfativa o similar
- Información profesional o laboral: Historial laboral actual o pasado, evaluaciones de desempeño
- Información educativa: Registros mantenidos por instituciones educativas
- Inferencias: Perfiles que reflejan preferencias, características, comportamiento, actitudes o predisposiciones
Información Personal Sensible
Las enmiendas de la CPRA crearon una categoría especial llamada "información personal sensible" con protecciones adicionales. Esto incluye:
- Números de Seguro Social, licencia de conducir, identificación estatal o pasaporte
- Credenciales de inicio de sesión de cuenta combinadas con códigos de seguridad o contraseñas requeridos
- Geolocalización precisa
- Origen racial o étnico, estatus de ciudadanía o migratorio, creencias religiosas o filosóficas, o afiliación sindical
- Contenido de correo postal, correo electrónico y mensajes de texto (a menos que la empresa sea el destinatario previsto)
- Datos genéticos
- Datos biométricos utilizados para identificar de manera única a un consumidor
- Información de salud, vida sexual o datos de orientación sexual
- Datos neuronales (agregados por la SB 1223, vigente desde 2025)
Los consumidores tienen derecho a limitar cómo las empresas usan y divulgan su información personal sensible.

Derechos del Consumidor Bajo la CCPA
La CCPA otorga a los residentes de California varios derechos específicos. Las empresas deben respetar estos derechos sin cobrar extra ni ofrecer una calidad de servicio inferior (el "derecho a la no discriminación").
Derecho a Saber
Los consumidores pueden solicitar que una empresa divulgue:
- Qué categorías de información personal ha recopilado
- Las fuentes de las cuales recopiló la información
- El propósito comercial o de negocio para recopilar o vender la información
- Las categorías de terceros con quienes la empresa comparte o vende la información
- Los datos específicos de información personal que la empresa ha recopilado sobre el consumidor
Las empresas deben responder a las solicitudes verificadas dentro de 45 días calendario, con la opción de extender el plazo por 45 días adicionales (90 en total) si notifican al consumidor.
Derecho a Eliminar
Los consumidores pueden solicitar la eliminación de la información personal que una empresa ha recopilado sobre ellos. La empresa también debe indicar a sus proveedores de servicios y contratistas que eliminen la información, sujeto a ciertas excepciones (como completar una transacción, detectar incidentes de seguridad o cumplir con una obligación legal).
Derecho a Optar por No Participar en la Venta o el Intercambio
Los consumidores pueden indicar a las empresas que dejen de vender o compartir su información personal. "Compartir" se refiere específicamente a poner la información personal a disposición de terceros para publicidad conductual entre contextos, una distinción agregada por la CPRA en 2023.
Las empresas que venden o comparten información personal deben publicar un enlace claro de "No Vender ni Compartir Mi Información Personal" en su página de inicio.
Derecho a Corregir
Agregado por la CPRA, vigente desde el 1 de enero de 2023, los consumidores pueden solicitar que una empresa corrija la información personal inexacta que mantiene sobre ellos.
Derecho a Limitar el Uso de Información Personal Sensible
También agregado por la CPRA, los consumidores pueden indicar a las empresas que limiten el uso de su información personal sensible a los fines necesarios para proporcionar los bienes o servicios que el consumidor solicitó.
Derecho a la No Discriminación
Las empresas no pueden negar bienes o servicios, cobrar precios diferentes, proporcionar una calidad de servicio diferente, ni sugerir que harán cualquiera de estas cosas porque un consumidor ejerció sus derechos bajo la CCPA.
Obligaciones de las Empresas
Las empresas cubiertas por la CCPA deben tomar varias medidas para cumplir, según lo describe la Fiscalía General de California y la CPPA.
Requisitos de la Política de Privacidad
Toda empresa cubierta debe mantener una política de privacidad que divulgue:
- Categorías de información personal recopilada en los 12 meses anteriores
- Categorías de fuentes de las cuales se recopiló la información
- El propósito comercial o de negocio para recopilar, vender o compartir la información
- Categorías de terceros a quienes la empresa divulga información personal
- Una descripción de cada derecho del consumidor y cómo ejercerlo
Enlace de "No Vender ni Compartir"
Las empresas que venden o comparten información personal deben incluir un enlace claro y visible de "No Vender ni Compartir Mi Información Personal" en la página de inicio de su sitio web. Las empresas también deben respetar las señales de preferencia de exclusión, como el Control de Privacidad Global (GPC).
Manejo de Solicitudes
Las empresas deben proporcionar al menos dos métodos para que los consumidores presenten solicitudes (para empresas exclusivamente en línea, basta con un correo electrónico y un formulario web). Deben verificar la identidad de los solicitantes y responder dentro de 45 días.
Minimización de Datos
Las empresas solo pueden recopilar información personal que sea razonablemente necesaria y proporcional para los fines divulgados en la política de privacidad.
Sanciones y Aplicación
La CCPA prevé tanto la aplicación administrativa como un derecho de acción privada limitado.
Sanciones Administrativas
La CPPA ajusta los montos de las sanciones cada dos años por inflación. A partir del ajuste de 2025:
| Tipo de Violación | Sanción Por Violación |
|---|---|
| Violación no intencional | Hasta $2,663 |
| Violación intencional | Hasta $7,988 |
| Violaciones que involucran a menores | Hasta $7,988 |
Tanto la Fiscalía General de California como la CPPA comparten la autoridad de aplicación. La Fiscalía General ha ejercido este poder mediante varias acciones de aplicación de alto perfil.
Acciones de Aplicación Destacadas
- Sephora (2022): Acuerdo de $1.2 millones por vender información personal sin la divulgación adecuada y no respetar las señales del Control de Privacidad Global
- DoorDash (2023): Acuerdo de $375,000 por vender información personal de clientes sin aviso ni opciones de exclusión
- Disney (2024): Acuerdo de $2.75 millones, el acuerdo más grande de la CCPA en la historia de California, por no permitir que los consumidores optaran completamente por no participar en la venta y el intercambio de datos
- Tractor Supply Company (2025): Multa de $1.35 millones de la CPPA por violaciones de la CCPA
- American Honda Motor Co. (2025): Acuerdo de $632,500 con la CPPA por violaciones de privacidad
Derecho de Acción Privada por Violaciones de Datos
Bajo el Cal. Civ. Code 1798.150, los consumidores cuya información personal no cifrada o no redactada queda expuesta en una violación de datos causada por el hecho de que una empresa no mantuvo procedimientos y prácticas de seguridad razonables pueden presentar una demanda civil. Los daños estatutarios van de $100 a $750 por consumidor por incidente, o los daños reales, lo que sea mayor.
Este derecho de acción privada se limita a las violaciones de datos. Otras violaciones de la CCPA solo pueden ser aplicadas por la Fiscalía General o la CPPA.
La CPPA: El Aplicador Dedicado de Privacidad de California
La Proposición 24 (la CPRA) estableció la Agencia de Protección de la Privacidad de California como la primera agencia dedicada de aplicación de privacidad en Estados Unidos. La CPPA comenzó sus operaciones de aplicación el 1 de julio de 2023, compartiendo autoridad con la Fiscalía General.
Las responsabilidades de la CPPA incluyen:
- Implementar y hacer cumplir la CCPA mediante procedimientos administrativos
- Adoptar regulaciones para aclarar y operacionalizar la ley
- Educar al público sobre los derechos de privacidad del consumidor
- Operar la Plataforma de Solicitudes de Eliminación y Exclusión (DROP), lanzada el 1 de enero de 2026, que permite a los consumidores enviar solicitudes de eliminación a todos los corredores de datos registrados con un solo envío
En Qué Se Diferencia la CCPA de la CPRA
La CPRA no es una ley separada. Enmendó la CCPA existente, vigente desde el 1 de enero de 2023. Las adiciones clave incluyen:
- Nuevos derechos del consumidor: Derecho a corregir datos inexactos y derecho a limitar el uso de información personal sensible
- Exclusión ampliada: La exclusión de venta se amplió para incluir el "intercambio" para publicidad conductual entre contextos
- Información personal sensible: Creó una nueva categoría con restricciones adicionales
- Creación de la CPPA: Estableció una agencia dedicada de aplicación
- Obligaciones de contratistas: Extendió los requisitos más allá de los proveedores de servicios para incluir a los contratistas
- Evaluaciones de riesgo y auditorías de ciberseguridad: Requeridas para ciertas empresas (regulaciones finalizadas en 2025, vigentes en 2026)
- Toma de decisiones automatizada: Nuevos requisitos de transparencia y exclusión para las empresas que utilizan tecnología de toma de decisiones automatizada (vigente el 1 de enero de 2027)
Para una comparación detallada, consulte nuestra guía sobre CCPA vs CPRA: Diferencias Clave Explicadas.
Actualizaciones Regulatorias de 2026
La CPPA finalizó un importante paquete de nuevas regulaciones en septiembre de 2025, todas vigentes desde el 1 de enero de 2026. Estas incluyen:
- Auditorías de ciberseguridad: Ciertas empresas deben realizar auditorías anuales de ciberseguridad y presentar certificaciones a la CPPA antes del 1 de abril de 2028
- Evaluaciones de riesgo: Las empresas deben completar evaluaciones de riesgo de privacidad para las actividades de procesamiento que presenten un riesgo significativo para los consumidores
- Tecnología de toma de decisiones automatizada (ADMT): Los consumidores obtienen el derecho a acceder a información sobre las decisiones significativas tomadas mediante ADMT y a optar por no participar en ellas (plazo de cumplimiento: 1 de enero de 2027)
- Regulaciones de seguros: Aclaración de cuándo las compañías de seguros deben cumplir con la CCPA
- Plataforma DROP: La Plataforma de Solicitudes de Eliminación y Exclusión entró en funcionamiento, permitiendo a los consumidores eliminar datos de todos los corredores de datos registrados en un solo paso
Temas Relacionados de Privacidad de California
El marco de privacidad de datos de California se extiende más allá de la CCPA. Explore temas relacionados:
- Leyes de Privacidad de Datos de California (página principal que cubre todos los estatutos de privacidad de California)
- CCPA vs CPRA: Diferencias Clave Explicadas
- Lista de Verificación de Cumplimiento de la CCPA
- Derechos de Exclusión de la CCPA
- Leyes de Privacidad Biométrica de California
- Leyes de Notificación de Violación de Datos de California
Este artículo proporciona información legal general, no asesoría legal. El derecho de privacidad es complejo y depende de los hechos. Consulte a un abogado para obtener asesoría específica sobre su situación.
Más Leyes de California
- Leyes de Grabación de Reuniones con IA de California
- Leyes de Pensión Alimenticia de California
- Leyes de Empleo a Voluntad de California
- Leyes de Accidentes Automovilísticos de California
- Leyes de Asientos de Seguridad para Niños de California
- Leyes de Custodia de Menores de California
- Leyes de Manutención Infantil de California
- Leyes de Matrimonio de Hecho de California
- Leyes de Deepfake de California
- Leyes de Divorcio de California
- Leyes de Mordedura de Perro de California
- Leyes de Emancipación de California
- Leyes de Eliminación de Antecedentes de California
- Leyes de Choque y Fuga de California
- Leyes de Propietario e Inquilino de California
- Leyes del Limón de California
Preguntas frecuentes
¿Qué hace la CCPA?
La CCPA otorga a los residentes de California el derecho a saber qué información personal recopilan las empresas sobre ellos, solicitar la eliminación de esos datos, optar por no participar en su venta o intercambio, corregir información inexacta y limitar el uso de información personal sensible. También prohíbe a las empresas discriminar a los consumidores que ejercen estos derechos.
¿Se aplica la CCPA a las pequeñas empresas?
La CCPA solo se aplica a empresas con fines de lucro que cumplan con al menos un umbral: ingresos brutos anuales superiores a $26.625 millones, compra/venta/intercambio de datos de 100,000 o más residentes de California, u obtención del 50% o más de sus ingresos de la venta o el intercambio de datos personales. Muchas pequeñas empresas están por debajo de estos umbrales y no están sujetas a la CCPA.
¿Cuáles son las sanciones por violar la CCPA?
A partir del ajuste del IPC de 2025, las sanciones administrativas alcanzan hasta $2,663 por violación no intencional y $7,988 por violación intencional o violaciones que involucran a menores. Para violaciones de datos causadas por seguridad inadecuada, los consumidores pueden demandar por daños estatutarios de $100 a $750 por persona por incidente bajo el Cal. Civ. Code 1798.150.
¿Pueden las personas demandar bajo la CCPA?
Las personas solo pueden demandar bajo el derecho de acción privada de la CCPA por violaciones de datos resultantes de que una empresa no mantuvo procedimientos de seguridad razonables (Cal. Civ. Code 1798.150). Para otros tipos de violaciones de la CCPA, solo la Fiscalía General o la CPPA pueden presentar acciones de aplicación.
¿Cuál es la diferencia entre la CCPA y la CPRA?
La CPRA (Proposición 24, aprobada por los votantes en noviembre de 2020) enmendó la CCPA existente en lugar de reemplazarla. La CPRA agregó nuevos derechos del consumidor (corrección, limitación del uso de datos sensibles), creó la Agencia de Protección de la Privacidad de California (CPPA), amplió los derechos de exclusión para cubrir el intercambio de datos para publicidad conductual, e introdujo requisitos para evaluaciones de riesgo y auditorías de ciberseguridad.
¿Se aplica la CCPA a empresas fuera de California?
Sí. La CCPA se aplica a cualquier empresa con fines de lucro que recopile información personal de residentes de California y cumpla con los umbrales de aplicabilidad, independientemente de dónde tenga su sede la empresa. Una compañía de cualquier estado o país puede estar sujeta a la CCPA si realiza negocios en California.
¿Cuánto tiempo tiene una empresa para responder a una solicitud de la CCPA?
Las empresas deben responder a las solicitudes verificadas de los consumidores dentro de 45 días calendario. Pueden extender este plazo por 45 días adicionales (90 días en total) si notifican al consumidor sobre la extensión y el motivo de esta.
¿Qué es la CPPA y qué hace?
La Agencia de Protección de la Privacidad de California (CPPA) es la primera agencia dedicada de aplicación de privacidad de datos en Estados Unidos. Creada por la CPRA en 2020, comenzó sus operaciones de aplicación el 1 de julio de 2023. La CPPA adopta regulaciones de la CCPA, investiga violaciones, emite multas y opera la plataforma DROP para las solicitudes de eliminación de datos del consumidor.
Fuentes y referencias
- Texto Completo de la CCPA (Cal. Civ. Code 1798.100-1798.199.100)(leginfo.legislature.ca.gov).gov
- Resumen de la Ley de Privacidad del Consumidor de California (CCPA)(oag.ca.gov).gov
- Sitio Web Oficial y Preguntas Frecuentes de la CPPA(cppa.ca.gov).gov
- Estatuto de la CCPA Vigente desde el 1 de Enero de 2026(cppa.ca.gov).gov
- Umbrales Monetarios Actualizados (Ajuste del IPC)(cppa.ca.gov).gov
- Cal. Civ. Code 1798.150 (Derecho de Acción Privada)(leginfo.legislature.ca.gov).gov
- Aplicación de la CPPA: Aumentos de Sanciones 2025(cppa.ca.gov).gov
- Acuerdo de la Fiscalía General con Sephora ($1.2M)(oag.ca.gov).gov
- Acuerdo de la Fiscalía General con Disney ($2.75M)(oag.ca.gov).gov
- Acuerdo de la Fiscalía General con DoorDash ($375K)(oag.ca.gov).gov
- Acuerdo de la CPPA con Honda ($632,500)(cppa.ca.gov).gov
- Actualizaciones de la CCPA, Auditorías de Ciberseguridad, Evaluaciones de Riesgo, Regulaciones ADMT(cppa.ca.gov).gov
- Plataforma de Solicitudes de Eliminación y Exclusión (DROP)(cppa.ca.gov).gov
- Control de Privacidad Global (GPC)(oag.ca.gov).gov
- SB 1223 (Datos Neuronales como Información Personal Sensible)(leginfo.legislature.ca.gov).gov