Colorado
Leyes de Privacidad de Datos de Colorado: Guía de Derechos del Consumidor bajo la CPA (2026)

La Ley de Privacidad de Colorado (C.R.S. §§ 6-1-1301 a 6-1-1313), vigente desde el 1 de julio de 2023, otorga a los residentes de Colorado el derecho a acceder, corregir, eliminar y transferir sus datos personales, y a optar por no participar en su venta o en su uso para publicidad dirigida; cubre a las empresas que procesan datos de 100,000 o más consumidores de Colorado anualmente, y su aplicación está a cargo de la Fiscalía General.
Colorado cuenta con uno de los marcos estatales de privacidad de datos más completos y en evolución activa de Estados Unidos. La Ley de Privacidad de Colorado (CPA), codificada en C.R.S. §§ 6-1-1301 a 6-1-1313, entró en vigor el 1 de julio de 2023. Desde entonces, Colorado ha agregado reglas dedicadas de privacidad infantil, protecciones de datos biométricos, una designación de la geolocalización como dato sensible, y una histórica (aunque cuestionada) ley de responsabilidad de la inteligencia artificial.
Esta guía cubre el panorama completo de la privacidad de datos en Colorado a mayo de 2026: los derechos del consumidor y las obligaciones empresariales bajo la CPA, la ley de notificación de violación de datos, las protecciones de datos sensibles, las reglas de privacidad en línea para menores, los requisitos de datos biométricos, el Mecanismo Universal de Exclusión, el estado actual de la Ley de IA de Colorado, las sanciones de aplicación, y las leyes federales que se aplican junto con el marco estatal de Colorado. Los residentes de Colorado y las empresas que operan en el estado encontrarán los estatutos clave, las fechas de cumplimiento y las estructuras de sanciones que necesitan para entender sus derechos y obligaciones.
Qué Es la Ley de Privacidad de Colorado (Colorado Privacy Act)
El Gobernador Jared Polis firmó el Senate Bill 21-190 el 7 de julio de 2021. El proyecto de ley se aprobó con apoyo bipartidista casi unánime, 35-0 en el Senado y 57-7 en la Cámara. Colorado se convirtió en uno de los primeros estados en promulgar una legislación integral de privacidad de datos, junto con California y Virginia. La ley entró en vigor el 1 de julio de 2023.
La CPA es aplicada exclusivamente por la Fiscalía General de Colorado y los fiscales de distrito. No existe un derecho de acción privada. Los consumidores individuales no pueden presentar demandas bajo la CPA; la autoridad de aplicación recae completamente en los funcionarios estatales. El Fiscal General Phil Weiser inició la aplicación de la CPA el 12 de julio de 2023, inicialmente mediante divulgación educativa y cartas de cumplimiento.
El Departamento de Derecho de Colorado promulgó las reglas de implementación (4 CCR 904-3) en marzo de 2023. Rondas adicionales de reglamentación siguieron en diciembre de 2024 y octubre de 2025, agregando requisitos para los datos de menores, los identificadores biométricos y los datos de geolocalización precisa a medida que esas enmiendas estatutarias entraron en vigor.
Quién Debe Cumplir con la CPA
La Ley de Privacidad de Colorado se aplica a las entidades con fines de lucro que realizan negocios en Colorado o dirigen intencionalmente productos o servicios a los residentes de Colorado y cumplen con uno de dos umbrales de procesamiento.

Umbrales Empresariales
| Umbral | Requisito |
|---|---|
| Umbral 1 | Controla o procesa datos personales de 100,000 o más consumidores de Colorado por año calendario |
| Umbral 2 | Obtiene ingresos o recibe un descuento en bienes o servicios por la venta de datos personales Y controla o procesa datos de 25,000 o más consumidores de Colorado |
La CPA distingue entre dos categorías de entidades cubiertas. Los controladores determinan los propósitos y medios del procesamiento de datos personales (por ejemplo, un minorista que decide qué datos de clientes recopilar y por qué). Los procesadores manejan datos en nombre de los controladores bajo acuerdos escritos de procesamiento de datos (por ejemplo, un proveedor de almacenamiento en la nube que actúa conforme a las instrucciones de un minorista).
Exenciones Clave
Las siguientes entidades y tipos de datos están exentos bajo C.R.S. § 6-1-1304:
- Entidades gubernamentales estatales y locales
- Instituciones estatales de educación superior
- Instituciones financieras y sus afiliadas sujetas a la Ley Gramm-Leach-Bliley
- Aerolíneas reguladas por la Administración Federal de Aviación
- Asociaciones nacionales de valores registradas bajo la Ley de Intercambio de Valores
- Datos regidos por la HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
- Datos cubiertos por la Ley de Reporte Justo de Crédito
- Registros de empleo y datos de solicitantes de empleo
- Datos desidentificados e información disponible públicamente
Excepción importante a la regla del umbral: Bajo la HB 24-1130 (vigente desde el 1 de julio de 2025), las protecciones de datos biométricos se aplican a cualquier entidad que procese datos biométricos de residentes de Colorado, independientemente de si cumple con los umbrales de 100,000 o 25,000 consumidores.
Derechos del Consumidor Bajo la CPA
La Ley de Privacidad de Colorado otorga a los residentes de Colorado seis derechos fundamentales sobre sus datos personales. Los datos personales se definen como información razonablemente vinculada o vinculable a una persona identificada o identificable. No incluye información disponible públicamente, datos desidentificados o datos agregados.
Derecho de Acceso
Los consumidores de Colorado pueden solicitar que un controlador confirme si procesa sus datos personales y que proporcione una copia de esos datos. Los controladores deben cumplir la primera solicitud dentro de cualquier período de 12 meses sin costo alguno. Para solicitudes adicionales dentro de ese mismo período, los controladores pueden cobrar una tarifa razonable de hasta $0.25 por página.
Derecho a Corregir
Los consumidores pueden solicitar que un controlador corrija datos personales inexactos. El controlador debe tener en cuenta la naturaleza de los datos y el propósito del procesamiento al decidir cómo realizar la corrección.
Derecho a Eliminar
Los consumidores pueden solicitar que un controlador elimine sus datos personales, incluidos los datos obtenidos directamente del consumidor y los datos adquiridos de fuentes de terceros.
Derecho a la Portabilidad de Datos
Los consumidores pueden solicitar sus datos personales en un formato electrónico portátil y fácilmente utilizable que permita la transferencia a otra entidad. Los secretos comerciales están excluidos de este requisito.
Derecho a Optar por No Participar en la Venta de Datos
Los consumidores pueden indicar a un controlador que deje de vender sus datos personales. La CPA define "venta" de manera amplia para incluir intercambios de datos por dinero u otra contraprestación de valor.
Derecho a Optar por No Participar en la Publicidad Dirigida y la Elaboración de Perfiles
Los consumidores pueden optar por no participar en el procesamiento para publicidad dirigida ni en la elaboración de perfiles que produzca efectos legales o significativos similares. Esto cubre la toma de decisiones automatizada que podría afectar el acceso al empleo, los servicios financieros, la vivienda, el seguro o la educación.
Cómo Ejercer Estos Derechos
Los controladores deben responder a las solicitudes de los consumidores dentro de 45 días. Si se necesita tiempo adicional, pueden extender el plazo por otros 45 días (90 días en total), pero deben notificar al consumidor sobre la extensión y el motivo de esta.
Si un controlador deniega una solicitud, debe proporcionar instrucciones para apelar la decisión. Si la apelación también es denegada, el controlador debe informar al consumidor cómo presentar una queja ante la oficina de la Fiscalía General de Colorado.
Mecanismo Universal de Exclusión
Una de las características más distintivas de la CPA es el requisito del Mecanismo Universal de Exclusión (UOOM). Desde el 1 de julio de 2024, las empresas sujetas a la CPA deben respetar las señales de exclusión enviadas mediante mecanismos reconocidos por la Fiscalía General de Colorado.

La Fiscalía General mantiene una lista pública de mecanismos reconocidos en coag.gov/opt-out/. A partir de 2026, el Control de Privacidad Global (GPC) es el UOOM principal reconocido. GPC es una señal a nivel de navegador que comunica automáticamente la preferencia de exclusión de un consumidor a cada sitio web que visita. Los residentes de Colorado pueden habilitar GPC a través de un navegador compatible (como Firefox o Brave) o mediante una extensión de navegador.
Obligaciones del UOOM para las Empresas
Las empresas deben:
- Respetar las señales de GPC como una exclusión de la venta de datos personales y la publicidad dirigida
- Describir sus procedimientos de procesamiento de solicitudes del UOOM en su política de privacidad
- Seguir la especificación técnica de Privacy CG para la implementación de GPC
- Asegurarse de que el UOOM no esté configurado como señal predeterminada en navegadores o sistemas operativos preinstalados
- Asegurarse de que el UOOM no perjudique injustamente a ningún controlador específico
Protecciones de Datos Sensibles
La CPA exige que los controladores obtengan un consentimiento afirmativo y expreso antes de recopilar o procesar cualquier categoría de datos sensibles. La aceptación general de los términos de servicio, pasar el cursor, hacer una pausa o interactuar de otra manera con el contenido no constituye un consentimiento válido.
Categorías de Datos Sensibles Bajo la CPA
| Categoría | Descripción |
|---|---|
| Origen racial o étnico | Datos que revelan la raza o etnia de un consumidor |
| Creencias religiosas | Datos que revelan afiliación o creencias religiosas |
| Salud mental o física | Condiciones de salud, diagnósticos o información de tratamiento |
| Orientación o actividad sexual | Datos sobre preferencias o actividad sexual |
| Ciudadanía o estatus migratorio | Datos sobre ciudadanía o estatus migratorio |
| Datos biométricos | Identificadores biométricos utilizados para fines de identificación |
| Datos de menores | Cualquier dato personal relativo a un menor de 13 años |
| Datos de geolocalización precisa | Datos de ubicación utilizados para identificar a un consumidor dentro de un área geográfica (agregado por la SB 25-276, vigente desde 2025) |
Protecciones de Privacidad en Línea para Menores
El Gobernador Polis firmó el Senate Bill 24-041 el 31 de mayo de 2024, agregando protecciones sustanciales de privacidad para los datos en línea de menores. Estas disposiciones entraron en vigor el 1 de octubre de 2025. El Departamento de Derecho finalizó las reglas de implementación en octubre de 2025, abordando el estándar de "ignorar deliberadamente" para determinar si un controlador sabe que un usuario es menor de edad, definiendo las "características de diseño del sistema" prohibidas que explotan a los menores, y actualizando la definición de "revelar" en el contexto de los datos de geolocalización sensibles recopilados de menores.
A Quién Cubren las Protecciones para Menores
Las protecciones se aplican a los controladores que ofrecen servicios, productos o funciones en línea a consumidores que el controlador sabe, o ignora deliberadamente, que son menores de edad. Los requisitos de consentimiento se aplican a los menores de 18 años (no solo a los menores de 13 años como bajo el estándar federal de la COPPA).
Requisitos Clave para las Empresas
Los controladores cubiertos por estas disposiciones deben:
- Actuar con cuidado razonable para evitar cualquier riesgo elevado de daño a los menores
- Realizar y documentar evaluaciones de protección de datos antes de procesar datos de menores cuando exista un riesgo elevado de daño
- Obtener consentimiento antes de procesar datos de menores para publicidad dirigida, venta de datos o elaboración de perfiles que produzca efectos legales o significativos
- Evitar recopilar datos de geolocalización precisa de menores (con excepciones limitadas, incluidos los operadores de áreas de esquí)
- Limitar la retención de datos a lo necesario para proporcionar el servicio
- Abstenerse de usar características de diseño del sistema que aumenten, sostengan o extiendan significativamente el uso de la plataforma por parte de un menor
- Abstenerse de elaborar perfiles de menores de manera que produzca consecuencias legales significativas sin consentimiento
Puerto Seguro de Estimación de Edad
Las empresas no están obligadas a implementar sistemas de verificación de edad. La ley proporciona un puerto seguro para la "estimación de edad comercialmente razonable", protegiendo a las empresas de responsabilidad por errores involuntarios al identificar si un usuario es menor de edad.

Protecciones de Datos Biométricos
Colorado promulgó la HB 24-1130 el 31 de mayo de 2024, estableciendo protecciones dedicadas para los identificadores y datos biométricos. La ley entró en vigor el 1 de julio de 2025.
Qué Se Considera Datos Biométricos
Los identificadores biométricos incluyen huellas dactilares, huellas de voz, escaneos de retina o iris, geometría facial y otras características biológicas únicas utilizadas para la identificación. La CPA define los datos biométricos como uno o más identificadores biométricos utilizados o destinados a ser utilizados, individualmente o en combinación, para fines de identificación.
Exención de Umbral Eliminada
La HB 24-1130 eliminó el umbral numérico de procesamiento de la CPA para los datos biométricos. Cualquier entidad que procese datos biométricos de residentes de Colorado debe cumplir con las disposiciones biométricas, independientemente de si procesa datos de 100,000 o 25,000 consumidores. Esto representa una ampliación significativa del alcance en comparación con la CPA base.
Obligaciones del Controlador
Las organizaciones que procesan datos biométricos deben:
- Adoptar una política escrita que establezca un cronograma de retención para los identificadores y datos biométricos
- Incluir en esa política un protocolo para responder a incidentes de seguridad de datos que involucren información biométrica
- Incluir lineamientos que exijan la eliminación de los identificadores biométricos en la fecha más temprana entre: (a) cuando se cumpla el propósito inicial de recopilación; (b) 24 meses después de la última interacción de la persona con la empresa; o (c) dentro de los 45 días posteriores a determinar que el almacenamiento ya no es necesario, adecuado o relevante
- Poner estas políticas a disposición pública, con excepciones limitadas
- Obtener consentimiento antes de recopilar o procesar datos biométricos y divulgar el propósito específico y la duración de la recopilación
- Abstenerse de comprar identificadores biométricos a menos que el consumidor sea compensado y consienta, y la compra esté relacionada con la provisión de un producto o servicio
Restricciones para los Empleadores
La HB 24-1130 impone límites específicos a los empleadores. Los empleadores pueden exigir el consentimiento biométrico como condición de empleo únicamente para estos fines limitados (control de acceso físico, acceso a tecnología, monitoreo de asistencia y seguridad laboral) sin condicionar el empleo al consentimiento. Para todos los demás fines, los empleadores solo pueden recopilar identificadores biométricos de los empleados con consentimiento, pero no pueden condicionar el empleo a que el empleado otorgue ese consentimiento.
Evaluaciones de Protección de Datos
La CPA exige que los controladores realicen y documenten evaluaciones de protección de datos antes de participar en actividades de procesamiento que presenten un riesgo elevado de daño para los consumidores. Este requisito está codificado en C.R.S. § 6-1-1309.
Cuándo Se Requieren las Evaluaciones
Una evaluación de protección de datos es obligatoria antes de:
- Procesar datos personales para publicidad dirigida
- Vender datos personales
- Procesar cualquier categoría de datos sensibles (incluyendo todas las categorías mencionadas anteriormente)
- Elaborar perfiles de consumidores cuando exista un riesgo razonablemente previsible de trato injusto, lesión financiera o física, intrusión ofensiva en la privacidad, u otro daño sustancial
- Procesar datos de menores cuando exista un riesgo elevado de daño (agregado por la SB 24-041)
Qué Debe Incluir la Evaluación
La evaluación debe sopesar los beneficios de la actividad de procesamiento frente a los riesgos potenciales para los consumidores. Los controladores deben considerar:
- Si el uso de datos desidentificados es una alternativa viable
- Las expectativas razonables de los consumidores
- El contexto de la actividad de procesamiento
- La relación entre el controlador y el consumidor
Confidencialidad
Las evaluaciones de protección de datos son confidenciales y están exentas de divulgación pública bajo la Ley de Registros Públicos de Colorado. La Fiscalía General puede solicitar y revisar cualquier evaluación para evaluar el cumplimiento de la CPA.
Obligaciones Empresariales
Los controladores sujetos a la CPA deben cumplir con requisitos continuos de cumplimiento más allá de responder a las solicitudes individuales de los consumidores.
Transparencia
Los controladores deben proporcionar un aviso de privacidad claro y accesible que describa: qué datos personales recopilan; por qué los recopilan; cómo pueden los consumidores ejercer sus derechos; las categorías de datos compartidos con terceros; y las categorías de terceros que reciben los datos.
Minimización de Datos
Los controladores solo pueden recopilar datos personales que sean adecuados, relevantes y razonablemente necesarios para los fines divulgados. No pueden recopilar datos más allá de esas necesidades ni usar los datos para fines secundarios sin consentimiento adicional.
Seguridad
Los controladores deben implementar prácticas de seguridad administrativas, técnicas y físicas razonables, apropiadas para el volumen y la sensibilidad de los datos que procesan.
Acuerdos con Procesadores
Los controladores deben celebrar contratos escritos de procesamiento de datos con los procesadores, especificando la naturaleza y el propósito del procesamiento, el tipo de datos involucrados, la duración del procesamiento, y los derechos y obligaciones de ambas partes. Los procesadores deben ayudar a los controladores a cumplir con sus obligaciones bajo la CPA, incluyendo la respuesta a las solicitudes de derechos de los consumidores.
Ley de Notificación de Violación de Datos de Colorado
La ley de notificación de violación de datos de Colorado, C.R.S. § 6-1-716, fue reforzada por la HB 18-1128 en 2018. Opera de manera independiente de la CPA y se aplica de forma más amplia que los requisitos de umbral de la CPA.

Qué Activa una Notificación
Una violación de seguridad es la adquisición no autorizada de datos computarizados no cifrados que compromete la seguridad, confidencialidad o integridad de la información personal. Los eventos cubiertos incluyen infecciones de malware, robo de credenciales, ataques de ransomware y pérdida de dispositivos físicos que contienen datos no cifrados.
Información Personal Cubierta
La ley protege las siguientes categorías de datos cuando se combinan con el nombre de un residente de Colorado:
- Números de Seguro Social
- Números de licencia de conducir o de identificación estatal
- Números de identificación de estudiante, militar o de pasaporte
- Información médica
- Números de identificación de seguro de salud
- Datos biométricos
- Nombre de usuario o dirección de correo electrónico combinado con una contraseña o pregunta de seguridad
- Números de cuenta o tarjeta de crédito combinados con códigos de acceso requeridos
Cronología de Notificación
| Requisito | Plazo |
|---|---|
| Aviso a los consumidores afectados | Dentro de 30 días de determinar que ocurrió una violación |
| Aviso a la Fiscalía General de Colorado | Dentro de 30 días (cuando se ven afectados 500 o más residentes de Colorado) |
| Aviso a las agencias de reporte crediticio | Requerido cuando se ven afectados 1,000 o más residentes |
El plazo de notificación al consumidor de 30 días de Colorado es uno de los más estrictos del país. La ley exige el aviso "en el tiempo más expedito posible y sin demora injustificada". Si una entidad se entera de que pudo haber ocurrido una violación, debe realizar una investigación pronta y de buena fe para determinar si la información personal ha sido o probablemente será utilizada indebidamente.
Contenido de los Avisos de Violación
Los avisos al consumidor deben incluir las fechas de la violación, una descripción de la información personal involucrada, la información de contacto de la entidad, la información de contacto de la FTC y las agencias de reporte crediticio, e instrucciones para proteger las cuentas si las credenciales fueron comprometidas.
Las entidades gubernamentales deben cumplir con un estatuto paralelo, C.R.S. § 24-73-103, que impone requisitos similares.
Requisitos de Eliminación de Datos
La ley de Colorado (C.R.S. §§ 6-1-713 y 6-1-713.5) exige que las entidades desarrollen políticas escritas para la eliminación de documentos en papel y electrónicos que contengan información personal de identificación, y que implementen procedimientos de seguridad razonables para su destrucción.
Sanciones por Violaciones
Las violaciones de la Ley de Privacidad de Colorado se consideran prácticas comerciales engañosas bajo la Ley de Protección al Consumidor de Colorado. La Fiscalía General y los fiscales de distrito pueden buscar sanciones civiles mediante procedimientos judiciales.
Tabla de Sanciones
| Tipo de Violación | Sanción Máxima |
|---|---|
| Violación estándar de la CPA | Hasta $20,000 por violación |
| Violación contra adultos mayores (65+) | Hasta $50,000 por violación |
| Violación de datos de menores (negligente) | Hasta $2,500 por menor afectado |
| Violación de datos de menores (intencional) | Hasta $7,500 por menor afectado |
El límite agregado de $500,000 para una serie relacionada de violaciones fue eliminado en 2019 por la HB 19-1289. Actualmente no existe un techo para las sanciones totales en casos de violaciones generalizadas.
El Período de Subsanación Expiró
Desde el 1 de julio de 2023 hasta el 1 de enero de 2025, la CPA incluyó un período obligatorio de subsanación de 60 días. Durante ese plazo, antes de perseguir la aplicación, la Fiscalía General o el fiscal de distrito debían enviar una carta de aviso otorgando al presunto infractor 60 días para subsanar una violación remediable.
A partir del 1 de enero de 2025, el período obligatorio de subsanación ha expirado. La Fiscalía General ahora tiene plena discreción para perseguir acciones de aplicación sin ofrecer primero una oportunidad de subsanar. Esto representa un aumento sustancial en el riesgo de aplicación para las empresas que no cumplen.
Historial de Aplicación
El Fiscal General Phil Weiser inició la aplicación de la CPA el 12 de julio de 2023. A lo largo de 2024 y hasta 2025, la Unidad de Tecnología y Protección de la Privacidad (TAPP) de la Fiscalía General envió cartas de advertencia a empresas identificadas como potencialmente incumplidoras, con especial enfoque en el cumplimiento del UOOM, las fallas de consentimiento para datos sensibles y los avisos de privacidad inadecuados. Con el período de subsanación ya finalizado, esas cartas de advertencia pueden transformarse directamente en acciones de aplicación.
En septiembre de 2023, la Fiscalía General llegó a un acuerdo con Broomfield Skilled Nursing and Rehabilitation Center por una violación de datos de 2021 en la que cuentas de correo electrónico de empleados comprometidas expusieron datos de pacientes y empleados. El centro pagó una multa, acordó revisar por completo sus prácticas de seguridad, implementar revisiones de seguridad anuales y presentar informes de cumplimiento a la Fiscalía General.
Ley de IA de Colorado: De la SB 24-205 a la SB 26-189
El enfoque de Colorado sobre la regulación de la inteligencia artificial ha sido el aspecto más dinámico y cuestionado de su marco de privacidad entre 2024 y 2026.

Ley Original: SB 24-205
El Gobernador Polis firmó el Senate Bill 24-205 el 17 de mayo de 2024. La ley exigía a los desarrolladores e implementadores de sistemas de IA de alto riesgo actuar con cuidado razonable para proteger a los consumidores de la "discriminación algorítmica". Fue la primera ley estatal integral de responsabilidad de la IA en Estados Unidos y se basó en parte en la Ley de IA de la UE. La fecha de vigencia original era el 1 de febrero de 2026.
Primer Aplazamiento: SB 25B-004
El 28 de agosto de 2025, el Gobernador Polis firmó la SB 25B-004, un proyecto de ley que aplazó la implementación de la SB 24-205. La nueva fecha de vigencia se trasladó al 30 de junio de 2026.
Suspensión del Tribunal Federal
El 27 de abril de 2026, el Juez Magistrado Cyrus Y. Chung del Tribunal de Distrito de Estados Unidos para el Distrito de Colorado concedió una moción conjunta de xAI y la Fiscalía General de Colorado para suspender la aplicación de la SB 24-205. El Fiscal General Weiser se comprometió en la presentación judicial a que su oficina no promulgaría reglas de implementación ni haría cumplir la Ley hasta que concluyera la sesión legislativa vigente y se completara cualquier reglamentación resultante.
Reemplazo: SB 26-189
El Gobernador Polis firmó el Senate Bill 26-189 el 14 de mayo de 2026. La SB 26-189 reemplaza efectivamente el marco integral de gestión de riesgos de la SB 24-205 por un modelo más limitado de aviso y transparencia. Los cambios clave incluyen:
- Elimina los requisitos de la ley original sobre evaluaciones de impacto anuales, programas de gestión de riesgos y amplios deberes en materia de discriminación algorítmica
- Reemplaza esos requisitos con obligaciones de aviso y transparencia para las implementaciones de IA de alto riesgo
- Establece una nueva fecha de vigencia del 1 de enero de 2027, condicionada a que la Fiscalía General complete la reglamentación
- Mantiene la prohibición central de la discriminación algorítmica en ciertas decisiones de consecuencia
Para las empresas que se estaban preparando para cumplir con el marco más exigente de la SB 24-205, la SB 26-189 reduce significativamente la carga de cumplimiento mientras conserva las obligaciones fundamentales de aviso de la ley.
Enmiendas Recientes y Cronología de Reglamentación
El marco de privacidad de datos de Colorado se ha ampliado a través de múltiples ciclos legislativos y de reglamentación. A continuación, una cronología consolidada de todos los acontecimientos clave hasta mayo de 2026.
Enmiendas Legislativas
| Fecha | Ley | Tema |
|---|---|---|
| 31 de mayo de 2024 | SB 24-041 | Protecciones de datos en línea de menores (vigente el 1 de oct. de 2025) |
| 31 de mayo de 2024 | HB 24-1130 | Protecciones de identificadores biométricos (vigente el 1 de jul. de 2025) |
| 17 de mayo de 2024 | SB 24-205 | Ley de IA, sistemas de alto riesgo (fecha de vigencia original 1 de feb. de 2026; reemplazada) |
| 23 de mayo de 2025 | SB 25-276 | Geolocalización precisa agregada como categoría de datos sensibles |
| 28 de ago. de 2025 | SB 25B-004 | Aplazó la SB 24-205 al 30 de junio de 2026 |
| 14 de mayo de 2026 | SB 26-189 | Reemplazó la SB 24-205; marco de aviso y transparencia, vigente el 1 de ene. de 2027 |
Rondas de Reglamentación de la CPA
| Ronda | Fecha de Presentación | Temas Clave | Fecha de Vigencia |
|---|---|---|---|
| Reglas iniciales | 15 de marzo de 2023 | Implementación completa de la CPA (4 CCR 904-3) | 1 de julio de 2023 |
| Segunda ronda | 5 de diciembre de 2024 | Reglas base de datos biométricos (HB 24-1130) y datos de menores (SB 24-041) | 30 de enero de 2025 |
| Tercera ronda | 9 de octubre de 2025 | Estándar de "ignorar deliberadamente" para menores; características de diseño del sistema prohibidas; definición de "revelar" en geolocalización | Poco después de la publicación |
Cómo Se Compara Colorado con las Leyes de Privacidad de Otros Estados
Colorado se encuentra entre un número creciente de estados con leyes integrales de privacidad de datos. A partir de mayo de 2026, más de 20 estados han promulgado legislación integral de privacidad de datos del consumidor.
Las distinciones clave de la CPA de Colorado incluyen:
- Mandato de exclusión universal: Colorado fue uno de los primeros estados en exigir el reconocimiento de señales de exclusión a nivel de navegador. California y Connecticut tienen requisitos similares; muchos otros estados no.
- Definición amplia de datos sensibles: La CPA cubre el origen racial y étnico, la salud, la orientación sexual, la ciudadanía, los datos biométricos, los datos de menores y (desde 2025) la geolocalización precisa. Esta es una de las listas más amplias de datos sensibles entre las leyes estatales.
- Sin derecho de acción privada: A diferencia de la CCPA de California (que permite demandas privadas limitadas por violaciones de datos), la CPA depende completamente de la aplicación por parte de la Fiscalía General y los fiscales de distrito.
- Ampliación del alcance biométrico: La HB 24-1130 se aplica a cualquier entidad que procese datos biométricos de residentes de Colorado, independientemente de si la entidad cumple con los requisitos de umbral de la CPA.
- Ley de responsabilidad de la IA: Colorado es uno de los primeros estados en legislar la responsabilidad de la IA para sistemas de alto riesgo, aunque el marco se ha reducido sustancialmente respecto de su forma original.
Para conocer las leyes de privacidad de datos en otros estados y países, visite el centro de Leyes de Privacidad de Datos.
Marco Federal Complementario: Leyes que Se Aplican Junto con la CPA
Varias leyes federales operan junto con el marco estatal de privacidad de Colorado. Las empresas que operan en Colorado deben cumplir con ambas.
Ley TAKE IT DOWN (Pub. L. 119-12)
El Presidente Trump firmó la Ley TAKE IT DOWN el 19 de mayo de 2025. La ley penaliza la publicación no consensuada de imágenes íntimas, incluidos los deepfakes generados por IA. La prohibición penal entró en vigor inmediatamente después de la firma. Las obligaciones de retiro de contenido para las plataformas entraron en vigor el 19 de mayo de 2026, exigiendo a las plataformas cubiertas retirar las imágenes íntimas no consensuadas dentro de las 48 horas posteriores a una solicitud válida de retiro. La FTC aplica las obligaciones de las plataformas.
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico rige a las entidades cubiertas (planes de salud, proveedores de atención médica y cámaras de compensación de atención médica) y a sus asociados comerciales. Los datos cubiertos por la HIPAA están exentos de los requisitos de la CPA. Los hospitales, consultorios médicos y aseguradoras de salud de Colorado están sujetos a la Regla de Privacidad y la Regla de Seguridad de la HIPAA, en lugar de la CPA, para la información de salud de los pacientes.
Ley Gramm-Leach-Bliley (GLBA)
Las instituciones financieras sujetas a la GLBA y sus afiliadas están exentas de la CPA. La GLBA exige que las instituciones financieras mantengan programas escritos de seguridad de la información y proporcionen avisos anuales de privacidad a los clientes.
Ley de Reporte Justo de Crédito (FCRA)
Los datos cubiertos por la FCRA están exentos de la CPA. Las agencias de reporte de consumidores y los usuarios de reportes de consumidores deben cumplir con los requisitos de precisión, disputa y divulgación de la FCRA.
Ley de Protección de la Privacidad en Línea de los Menores (COPPA)
La COPPA (15 U.S.C. §§ 6501-6506) se aplica a los operadores de sitios web y servicios en línea dirigidos a menores de 13 años, y a los operadores que tienen conocimiento efectivo de que recopilan información personal de menores de 13 años. La SB 24-041 de Colorado extiende protecciones similares a los menores de 18 años a nivel estatal, yendo más allá del piso federal establecido por la COPPA.
Sección 5 de la Ley de la FTC
La prohibición de la Ley de la Comisión Federal de Comercio sobre actos o prácticas desleales o engañosas (15 U.S.C. § 45) se aplica a las empresas independientemente de si una ley estatal de privacidad las cubre. La FTC ha utilizado la Sección 5 para presentar acciones de aplicación contra compañías que violaron sus propias políticas de privacidad o incurrieron en prácticas de datos engañosas.
Ley Americana de Derechos de Privacidad (APRA)
El Congreso presentó la Ley Americana de Derechos de Privacidad en 2024 como un proyecto de ley federal integral y bicameral de privacidad. No fue aprobada en el 118.º Congreso. Una versión revisada (APRA 2.0) fue presentada en 2025. A partir de mayo de 2026, no se ha promulgado ninguna ley federal integral de privacidad.
Pasos Prácticos de Cumplimiento para las Empresas
Las empresas de Colorado sujetas a la CPA deben tomar las siguientes medidas.

Prioridades Inmediatas
- Audite su inventario de datos. Mapee qué datos personales recopila, de quién, por qué y con quién los comparte. Esta es la base de todas las demás obligaciones de cumplimiento.
- Publique un aviso de privacidad conforme. El aviso debe cubrir las categorías de datos, los propósitos de procesamiento, los derechos del consumidor, el intercambio con terceros y su proceso del UOOM.
- Implemente el reconocimiento del UOOM. Si su sitio está sujeto a la CPA, debe detectar y respetar las señales de GPC para la exclusión de la venta de datos y la publicidad dirigida.
- Cree flujos de trabajo para las solicitudes de los consumidores. Necesita un mecanismo para que los consumidores presenten solicitudes de acceso, corrección, eliminación, portabilidad y exclusión, y un proceso para responder dentro de 45 días.
- Celebre acuerdos de procesamiento de datos con todos los procesadores. Los contratos escritos deben especificar la naturaleza, el propósito, el tipo de datos, la duración, y los derechos y obligaciones de ambas partes.
Para los Procesadores de Datos Biométricos (a partir de julio de 2025)
- Publicar una política escrita de datos biométricos con cronogramas de retención, plazos de eliminación y protocolos de incidentes de seguridad
- Obtener consentimiento antes de cualquier recopilación biométrica
- Programar la eliminación automática en la fecha más temprana de los tres desencadenantes de eliminación (propósito cumplido, 24 meses después de la última interacción, o 45 días después de determinar que el almacenamiento ya no es necesario)
Para los Operadores que Atienden a Menores (a partir de octubre de 2025)
- Auditar si es probable que su servicio sea utilizado por consumidores menores de 18 años
- Obtener consentimiento antes de la publicidad dirigida, la venta de datos o la elaboración de perfiles de efecto significativo que involucren a menores
- Realizar evaluaciones de protección de datos para el procesamiento que genere un riesgo elevado de daño para los menores
- Deshabilitar o rediseñar las funciones diseñadas para aumentar el uso por parte de menores más allá de lo necesario para proporcionar el servicio
Sistemas de IA (Vigente el 1 de Enero de 2027 Bajo la SB 26-189)
- Identificar si sus sistemas de IA son de "alto riesgo" bajo las definiciones de la ley de reemplazo
- Prepararse para las obligaciones de aviso y transparencia cuando se implementen sistemas de IA de alto riesgo en contextos de decisiones de consecuencia
- Monitorear la reglamentación de la oficina de la Fiscalía General; las reglas de implementación deben completarse antes de que la ley entre en vigor
Cómo Pueden los Residentes de Colorado Ejercer Sus Derechos de Privacidad
Los residentes de Colorado pueden ejercer sus derechos bajo la CPA directamente con cualquier empresa sujeta a la ley. La ley no exige que las empresas acepten solicitudes de derechos a través de ningún canal específico, pero la mayoría de las compañías cubiertas mantienen un formulario web o una dirección de correo electrónico designados para las solicitudes de privacidad.
Para presentar quejas sobre violaciones de la CPA, los residentes de Colorado pueden presentar una queja ante la oficina de la Fiscalía General en coag.gov/file-a-complaint/data-privacy-data-breach/. La Unidad TAPP de la Fiscalía General revisa las quejas y puede abrir investigaciones.
Para usar el mecanismo de exclusión del Control de Privacidad Global, los residentes de Colorado pueden habilitar GPC en un navegador compatible o mediante una extensión de navegador. Una vez activado, GPC envía automáticamente una señal de exclusión a cada sitio web que está obligado a respetarla. Hay más información disponible en globalprivacycontrol.org.
Más Leyes de Colorado
Explore otros temas legales de Colorado cubiertos en RecordingLaw:
- Leyes de Sexting de Colorado
- Leyes de Privacidad de Datos por Estado
- Leyes de Grabación de Reuniones con IA de Colorado
- Leyes de Pensión Alimenticia de Colorado
- Leyes de Empleo a Voluntad de Colorado
- Leyes de Accidentes Automovilísticos de Colorado
- Leyes de Asientos de Seguridad para Niños de Colorado
- Leyes de Custodia de Menores de Colorado
- Leyes de Manutención Infantil de Colorado
- Leyes de Matrimonio de Hecho de Colorado
- Leyes de Deepfake de Colorado
- Leyes de Divorcio de Colorado
- Leyes de Mordedura de Perro de Colorado
- Leyes de Emancipación de Colorado
- Leyes de Eliminación de Antecedentes de Colorado
- Leyes de Choque y Fuga de Colorado
- Leyes de Propietario e Inquilino de Colorado
- Leyes del Limón de Colorado
Guías Detalladas
- ¿Qué Es la Ley de Privacidad de Colorado (CPA)?
- Derechos del Consumidor Bajo la Ley de Privacidad de Colorado y Cómo Usarlos
- Lista de Verificación de Cumplimiento de la Ley de Privacidad de Colorado (2026)
Noticias Relacionadas
Fuentes y referencias
- Resumen de la Ley de Privacidad de Colorado (CPA)(coag.gov).gov
- SB 21-190: Proteger la Privacidad de los Datos Personales(leg.colorado.gov).gov
- Mecanismo Universal de Exclusión - Fiscalía General de Colorado(coag.gov).gov
- Preguntas Frecuentes sobre las Leyes de Protección de Datos - Fiscalía General de Colorado(coag.gov).gov
- HB 18-1128: Notificación de Violación de Datos(leg.colorado.gov).gov
- SB 24-041: Privacidad de Datos en Línea de Menores(leg.colorado.gov).gov
- HB 24-1130: Identificadores y Datos Biométricos(leg.colorado.gov).gov
- SB 25-276: Geolocalización Precisa como Dato Sensible(leg.colorado.gov).gov
- Comunicado de Prensa del Inicio de la Aplicación de la CPA(coag.gov).gov
- HB 19-1289: Actualizaciones de Sanciones de Protección al Consumidor(coag.gov).gov
- Reglamentación de la CPA de 2025(coag.gov).gov
- Formulario de Reporte de Violación de Datos - Fiscalía General de Colorado(coag.gov).gov
- Control de Privacidad Global(globalprivacycontrol.org)
- Acuerdo con el Centro de Enfermería de Broomfield(coag.gov).gov