Colorado
Lista de Verificación de Cumplimiento de la Ley de Privacidad de Colorado (2026)

Las empresas que procesan datos personales de residentes de Colorado enfrentan uno de los conjuntos de obligaciones para controladores más detallados y favorables a la aplicación gubernamental del país, bajo la Ley de Privacidad de Colorado (CPA), C.R.S. secciones 6-1-1301 a 6-1-1313, y las reglas de implementación de la Fiscalía General en 4 CCR 904-3. Dos características hacen que la CPA sea genuinamente diferente de la mayoría de las demás leyes estatales de privacidad: las organizaciones sin fines de lucro NO están ampliamente exentas, y desde el 1 de julio de 2024, los controladores deben respetar automáticamente las señales del navegador Control de Privacidad Global como exclusiones válidas. El período de subsanación de 60 días que anteriormente suavizaba la aplicación expiró el 1 de enero de 2025. Esta lista de verificación de nueve pasos recorre cada obligación de cumplimiento requerida para que pueda identificar brechas antes de que comience una investigación de aplicación.
Para un resumen en lenguaje sencillo de la Ley de Privacidad de Colorado y cómo encaja en el panorama nacional de privacidad estatal, consulte el resumen de la ley de privacidad de datos de Colorado.
Paso 1: Realice la Autoevaluación de Aplicabilidad
Usted es un controlador cubierto bajo la CPA si realiza negocios en Colorado o dirige productos o servicios a residentes de Colorado Y cumple con alguno de dos umbrales de volumen de datos. El primero es procesar los datos personales de al menos 100,000 consumidores de Colorado durante un año calendario. El segundo es procesar datos de al menos 25,000 consumidores mientras también obtiene ingresos, o recibe algún descuento en bienes o servicios, por la venta de datos personales. C.R.S. sección 6-1-1302(1).
El segundo umbral es significativamente más amplio que el elemento equivalente de Virginia. Virginia exige que más del 50 por ciento de los ingresos brutos provengan de la venta de datos. Colorado solo exige que el controlador obtenga algún ingreso o reciba algún descuento por la venta de datos. Una empresa que obtiene incluso una cantidad nominal por vender datos y procesa 25,000 o más registros de consumidores está dentro del alcance.
"Consumidor" bajo la CPA significa un residente de Colorado que actúa a título individual o del hogar. Las interacciones de empresa a empresa y los datos de empleador-empleado no se incluyen en el conteo de consumidores. "Venta" significa el intercambio de datos personales por contraprestación monetaria u otra contraprestación de valor a un tercero.
Preguntas Clave que Debe Hacerse
- ¿Cuántos residentes únicos de Colorado aparecen en sus sistemas a través de todos los productos, servicios y tráfico del sitio web durante el año calendario?
- ¿Intercambia datos personales con algún tercero a cambio de dinero u otra contraprestación de valor? De ser así, ¿a cuántos consumidores cubren esos datos?
- ¿Realiza negocios en Colorado u ofrece productos o servicios dirigidos a residentes de Colorado, incluso si tiene su sede en otro lugar?
Si supera los 100,000 registros de consumidores, o si vende datos de cualquier forma y supera los 25,000 registros, continúe con esta lista de verificación. Si ninguno de los umbrales se aplica, documente esa conclusión y revísela anualmente a medida que crezca su huella de datos.
Paso 2: Verifique las Exenciones de Entidad y de Datos, Incluida la Trampa de las Organizaciones Sin Fines de Lucro
Incluso si supera ambos umbrales, la CPA exenta por completo a ciertas entidades. Las exenciones a nivel de entidad bajo C.R.S. sección 6-1-1304 incluyen: instituciones financieras y sus afiliadas sujetas a la Ley Gramm-Leach-Bliley; aerolíneas sujetas a la regulación de la Administración Federal de Aviación; asociaciones nacionales de valores registradas bajo la Ley de Intercambio de Valores; y los gobiernos estatales y locales de Colorado, así como las instituciones estatales de educación superior.
Lo que la CPA NO incluye en sus exenciones a nivel de entidad son las organizaciones sin fines de lucro. Esta es una de las diferencias estructurales más importantes entre la CPA y la VCDPA de Virginia, la TDPSA de Texas, y varias otras leyes estatales de privacidad que exentan por completo a las organizaciones sin fines de lucro. Una organización 501(c)(3), asociación comercial, u organización sin fines de lucro de defensa que realice negocios en Colorado y cumpla con cualquiera de los umbrales de datos es un controlador cubierto bajo la CPA. La SB 24-129, aprobada en 2024, abordó cuestiones limitadas de datos de miembros para organizaciones sin fines de lucro, pero no creó una exención general a nivel de entidad.
La CPA también excluye categorías específicas de datos a nivel de datos, independientemente de qué entidad los posea. Estas exenciones de categoría de datos bajo C.R.S. sección 6-1-1304 incluyen: información de salud protegida por la HIPAA; datos de crédito del consumidor regulados por la Ley de Reporte Justo de Crédito; registros educativos protegidos por la FERPA; datos personales de menores regulados bajo la COPPA; datos personales procesados en el contexto laboral; y datos cubiertos por la Ley de Protección de la Privacidad del Conductor.
Cómo Aplicar la Doble Verificación
Las exenciones de entidad y de datos operan de manera independiente. Un banco regulado por la GLBA está exento como entidad en todos los aspectos. Una empresa de tecnología que no está cubierta por la GLBA puede aun así tener algunos flujos de datos exentos a nivel de datos, como los registros de salud regulados por la HIPAA procesados en nombre de entidades cubiertas. Pero esa misma empresa debe cumplir plenamente con las obligaciones de la CPA para todos los datos no exentos que procese.
Revise cada categoría de datos en sus sistemas: (a) ¿Nuestra entidad está exenta? (b) Aunque no lo esté, ¿este flujo de datos específico está exento? Aplique ambas preguntas antes de tratar cualquier tipo de dato como regulado por la CPA.
Paso 3: Publique un Aviso de Privacidad Conforme
Los controladores deben proporcionar a los consumidores un aviso de privacidad razonablemente accesible, claro y significativo en todas las interfaces mediante las cuales los consumidores interactúan regularmente, incluidas las aplicaciones móviles. C.R.S. sección 6-1-1308(1) especifica cinco divulgaciones requeridas:
- Las categorías de datos personales recopilados o procesados por el controlador o sus procesadores
- Los propósitos para los cuales se procesa cada categoría de datos personales
- Cómo y dónde pueden los consumidores ejercer sus cinco derechos bajo la CPA, y cómo apelar una denegación
- Las categorías de datos personales compartidos con terceros
- Las categorías de terceros con quienes se comparten los datos personales
Si usted vende datos personales o los procesa para publicidad dirigida, el aviso también debe incluir una divulgación clara y visible de esa práctica y el mecanismo que los consumidores pueden usar para optar por no participar.
Más allá del contenido del aviso, los controladores están sujetos a seis deberes afirmativos bajo C.R.S. sección 6-1-1308(2): transparencia, especificación del propósito, minimización de datos, diligencia (seguridad razonable), evitar el uso secundario incompatible con los propósitos divulgados, y evitar el procesamiento que viole las leyes contra la discriminación. Estos deberes se aplican independientemente de si un consumidor presenta una solicitud.
Lista de Verificación del Aviso de Privacidad
| Elemento requerido | ¿Cubierto? |
|---|---|
| Categorías de datos personales recopilados o procesados | |
| Propósitos de procesamiento para cada categoría | |
| Cómo presentar una solicitud de derechos del consumidor | |
| Cómo apelar una solicitud denegada, incluido el contacto de la Fiscalía General | |
| Categorías de datos compartidos con terceros | |
| Categorías de terceros que reciben datos | |
| Divulgación de venta o publicidad dirigida (si aplica) | |
| Mecanismo de exclusión para la venta y la publicidad dirigida (si aplica) | |
| Explicación de cómo se manejan las señales del UOOM y GPC (Regla 6.03(4)(e)) |
Las Reglas de la Fiscalía General en 4 CCR 904-3 exigen un lenguaje claro y directo. Un enfoque de aviso por capas es aceptable para prácticas de datos complejas, pero las divulgaciones fundamentales deben aparecer en la primera capa.

Paso 4: Respete el Mecanismo Universal de Exclusión y el Control de Privacidad Global
Esta es la obligación de cumplimiento que más a menudo pasan por alto los controladores que, por lo demás, han implementado programas sólidos de privacidad. Desde el 1 de julio de 2024, la CPA exige que los controladores reconozcan y respeten los Mecanismos Universales de Exclusión (UOOM) aprobados. C.R.S. sección 6-1-1306(1)(a)(III).
La Fiscalía General de Colorado actualmente reconoce un UOOM: el Control de Privacidad Global (GPC). GPC es una señal de privacidad a nivel de navegador integrada en ciertos navegadores y extensiones que permite a los usuarios expresar una exclusión persistente e independiente del sitio respecto de la venta de datos y la publicidad dirigida. Cuando un consumidor con GPC habilitado visita su sitio web o utiliza su aplicación, usted debe tratar esa señal como una solicitud de exclusión válida de manera automática, sin exigir que el consumidor haga clic por separado en un enlace de "No Vender".
Colorado es el único estado que impone esta obligación del UOOM mediante un registro público formal mantenido por la Fiscalía General. La lista actual de UOOM reconocidos se publica en coag.gov/opt-out/. Los controladores deben monitorear el registro, ya que la Fiscalía General puede reconocer mecanismos adicionales en el futuro.
Bajo 4 CCR 904-3, Regla 6.03(4)(e), su política de privacidad debe incluir una explicación de cómo se procesarán las solicitudes del UOOM, incluidas las señales de GPC. La Fiscalía General ha dejado claro que una política de privacidad que no aborda GPC es deficiente, incluso si la implementación técnica subyacente ya está en funcionamiento.
Pasos de Implementación Técnica
- Implementar la detección del lado del servidor o del cliente del encabezado HTTP
Sec-GPC: 1y la propiedad de JavaScriptnavigator.globalPrivacyControl. - Vincular las señales de GPC detectadas con su canal de exclusión de datos existente para la venta de datos y la publicidad dirigida.
- Confirmar que las exclusiones de GPC persistan entre sesiones y dispositivos cuando sea técnicamente factible.
- Agregar un párrafo a su política de privacidad que explique que usted reconoce a GPC como un UOOM válido y describa cómo la señal activa una exclusión.
Paso 5: Obtenga Consentimiento Expreso (Opt-In) para los Datos Sensibles
Antes de procesar cualquier dato sensible, la CPA exige un consentimiento afirmativo expreso (opt-in). "Consentimiento" bajo C.R.S. sección 6-1-1303(6) significa un acto afirmativo claro que denota el acuerdo libremente otorgado, específico, informado e inequívoco del consumidor para el procesamiento. Las casillas premarcadas, el consentimiento agrupado escondido en los términos de servicio, y el acuerdo inferido por el uso continuo de un servicio no satisfacen este estándar.
Los datos sensibles se definen en C.R.S. sección 6-1-1303(24) e incluyen ocho categorías:
- Datos personales que revelan el origen racial o étnico, las creencias religiosas, la condición o diagnóstico de salud mental o física, la vida sexual o la orientación sexual, o el estatus de ciudadanía o migratorio
- Datos genéticos
- Datos biométricos procesados con el propósito de identificar de manera única a una persona natural
- Datos de geolocalización precisa
- Datos personales recopilados de un menor conocido
- Números de cuentas financieras combinados con credenciales de acceso (agregado por reglamento)
La categoría de geolocalización precisa cubre los datos que identifican la ubicación específica de una persona dentro de un radio que podría revelar una dirección residencial u otra ubicación sensible. Cualquier aplicación que recopile coordenadas GPS, o cualquier plataforma de análisis que procese datos precisos de ubicación del dispositivo, probablemente active este requisito.
Para menores de 13 años en plataformas en línea (vigente desde el 1 de octubre de 2025 bajo la SB 24-041), debe obtener tanto el asentimiento del menor como el consentimiento parental verificable antes de procesar sus datos. La SB 24-041 también exige que los controladores que ofrecen servicios en línea a menores conocidos actúen con cuidado razonable para evitar un riesgo elevado de daño y realicen evaluaciones de protección de datos siempre que exista ese riesgo elevado.
Diseño del Consentimiento para Datos Sensibles
Un opt-in conforme para datos sensibles debe: (a) presentarse antes de que comience el procesamiento, no de forma retroactiva; (b) ser específico para la categoría de datos sensibles y su propósito de procesamiento; (c) no estar condicionado al acceso al servicio principal en la medida de lo posible; y (d) ser fácilmente revocable por el consumidor. Revise todos los flujos de incorporación, cuestionarios de salud, pantallas de creación de cuentas y solicitudes de permiso de ubicación conforme a estos requisitos.
Tenga en cuenta también la capa específica sobre datos biométricos agregada por la HB 24-1130, vigente desde el 1 de julio de 2025. Los controladores que procesan identificadores biométricos deben adoptar y publicar un cronograma escrito de retención y eliminación, almacenar los datos biométricos utilizando el estándar de cuidado de la industria, y no pueden condicionar el empleo al consentimiento biométrico.
Paso 6: Realice Evaluaciones de Protección de Datos
Las evaluaciones escritas de protección de datos (DPA) son obligatorias antes de iniciar cualquier actividad de procesamiento que presente un riesgo elevado de daño para un consumidor. C.R.S. sección 6-1-1309(1) identifica cuatro categorías que siempre requieren una evaluación:
- Procesar datos personales con fines de publicidad dirigida
- Vender datos personales
- Procesar datos personales para la elaboración de perfiles cuando exista un riesgo razonablemente previsible de daño significativo, trato injusto o engañoso, impacto dispar, lesión financiera o física, daño reputacional, o intrusión en la vida privada
- Procesar datos sensibles según se definen en C.R.S. sección 6-1-1303(24)
Cada DPA debe: identificar la actividad de procesamiento; documentar los beneficios que se derivan del procesamiento para el controlador, los consumidores y el público; identificar los riesgos potenciales para los derechos y libertades del consumidor; describir las salvaguardas y medidas técnicas u organizativas implementadas para mitigar esos riesgos; y sopesar los beneficios frente a los riesgos residuales después de aplicar las salvaguardas. C.R.S. sección 6-1-1309(2)-(3).
Una sola evaluación puede cubrir un conjunto de operaciones de procesamiento comparables en lugar de requerir un documento separado por cada campaña o relación con proveedores. Sin embargo, las actividades de procesamiento materialmente nuevas o modificadas requieren una evaluación nueva o actualizada.
La Regla de No Retroactividad
Los requisitos de las DPA son expresamente no retroactivos. Bajo C.R.S. sección 6-1-1309, se aplican únicamente a las actividades de procesamiento creadas o generadas después del 1 de julio de 2023. Las operaciones de procesamiento existentes anteriores a esa fecha límite no requieren una evaluación retroactiva, pero cualquier procesamiento nuevo o materialmente modificado desde esa fecha sí la requiere. El término "materialmente modificado" debe interpretarse de manera conservadora: un nuevo socio para compartir datos, un nuevo propósito de procesamiento para datos existentes, o un nuevo caso de uso de elaboración de perfiles algorítmicos probablemente requieran una evaluación nueva.
Autoridad de Requerimiento de la Fiscalía General
La Fiscalía General puede solicitar las evaluaciones completadas mediante una solicitud de investigación civil. C.R.S. sección 6-1-1309(4). Las evaluaciones divulgadas a la Fiscalía General son confidenciales bajo la Ley de Registros Públicos de Colorado y conservan las protecciones aplicables de privilegio abogado-cliente o de producto del trabajo. Trate todas las DPA como documentos de aplicación potencialmente sujetos a divulgación desde el momento en que se redactan, e involucre a un asesor legal en su preparación.

Paso 7: Celebre Contratos con Procesadores
Todo proveedor, prestador de servicios u otro tercero que procese datos personales en su nombre debe estar regido por un contrato vinculante y escrito entre controlador y procesador antes de que comience el procesamiento. C.R.S. sección 6-1-1305(2)-(6).
El contrato debe especificar: las instrucciones para el procesamiento de datos personales; la naturaleza y el propósito del procesamiento; el tipo y las categorías de datos personales sujetos a procesamiento; y la duración del compromiso de procesamiento. Estos elementos de alcance definen el límite exterior de las actividades autorizadas del procesador.
Disposiciones Contractuales Obligatorias
Más allá de los elementos de alcance, el contrato de procesador de la CPA debe exigir que el procesador:
- Mantenga la confidencialidad: Todo el personal que acceda o maneje datos personales debe estar sujeto a obligaciones de confidencialidad.
- Elimine o devuelva los datos: Al finalizar la relación o a solicitud del controlador, el procesador debe eliminar o devolver todos los datos personales al controlador.
- Demuestre cumplimiento: El procesador debe proporcionar al controlador toda la información necesaria para demostrar el cumplimiento de las obligaciones de la CPA.
- Coopere con las auditorías: El procesador debe someterse y cooperar con las auditorías o evaluaciones independientes solicitadas por el controlador o la Fiscalía General.
- Traslade las obligaciones a los subprocesadores: El procesador debe vincular a cualquier subprocesador que contrate mediante un contrato escrito que imponga obligaciones equivalentes.
Inventario de Proveedores
Elabore un inventario completo del flujo de datos antes de auditar los contratos. Enumere a cada tercero que tenga contacto con los datos personales que usted controla: proveedores de infraestructura en la nube, plataformas de publicidad, proveedores de análisis, herramientas de CRM y automatización de marketing, procesadores de pagos, plataformas de recursos humanos, y cualquier aplicación SaaS que reciba datos de sus sistemas. Determine si cada relación es una relación de procesador (el tercero actúa bajo sus instrucciones) o una relación de controlador independiente (el tercero determina sus propios propósitos de procesamiento). Las relaciones de procesador requieren un contrato conforme a la CPA. Las relaciones de controlador con terceros requieren un instrumento diferente, típicamente un acuerdo de intercambio de datos con declaraciones sobre cumplimiento independiente.
Paso 8: Cree Flujos de Trabajo para Responder a los Derechos del Consumidor
Los consumidores de Colorado tienen cinco derechos bajo la CPA: acceso, corrección, eliminación, portabilidad, y exclusión (de la venta de datos, la publicidad dirigida y cierta elaboración de perfiles). C.R.S. sección 6-1-1306.
Los controladores deben responder a las solicitudes autenticadas de los consumidores dentro de 45 días desde su recepción. Se dispone de una extensión de hasta 45 días adicionales si se notifica al consumidor, dentro del plazo original de 45 días, la necesidad de más tiempo y el motivo de la extensión. La primera solicitud dentro de un período de 12 meses debe cumplirse sin costo alguno para el consumidor. C.R.S. sección 6-1-1306(3).
El Requisito de Apelación
Si usted deniega una solicitud del consumidor total o parcialmente, debe: (a) proporcionar al consumidor una explicación escrita de su fundamento para la denegación; (b) establecer y ofrecer un proceso interno de apelación; y (c) decidir la apelación dentro de 45 días de su recepción. Si la apelación también es denegada, debe proporcionar al consumidor un método en línea para contactar a la Fiscalía General de Colorado y presentar una queja. C.R.S. sección 6-1-1306(4); 4 CCR 904-3, Regla 7.04.
Retención de Registros
Mantenga registros de todas las solicitudes de derechos de los consumidores, las acciones tomadas o el fundamento de la denegación, y cualquier resolución de apelación durante al menos 24 meses. Estos registros son la evidencia principal que se examinará si la Fiscalía General abre una investigación. Un registro genérico que diga "solicitud recibida y denegada" es insuficiente. Documente el reclamo específico planteado, el fundamento legal de cualquier rechazo, y la fecha y el contenido de cualquier comunicación enviada al consumidor.
Para un resumen completo del marco de privacidad de Colorado, incluyendo cómo encajan los derechos del consumidor dentro de la estructura más amplia de la CPA, consulte el resumen de la ley de privacidad de datos de Colorado.
Paso 9: Comprenda la Aplicación: Sin Período de Subsanación, Sin Demanda Privada, $20,000 por Violación
La CPA es aplicada exclusivamente por la Fiscalía General de Colorado y los fiscales de distrito. No existe un derecho de acción privada para los consumidores. C.R.S. sección 6-1-1310 establece expresamente que "ESTA PARTE 13 NO AUTORIZA UN DERECHO DE ACCIÓN PRIVADA POR UNA VIOLACIÓN DE ESTA PARTE 13". Ningún individuo, bufete de demandantes, o demanda colectiva puede presentar una demanda por una violación de la CPA. C.R.S. sección 6-1-1311.
Las violaciones de la CPA se consideran prácticas comerciales engañosas bajo la Ley de Protección al Consumidor de Colorado. Las sanciones civiles bajo C.R.S. sección 6-1-112 son de hasta $20,000 por violación. La Fiscalía General también puede buscar medidas cautelares y recuperar los costos de investigación, incluidos los honorarios de abogados.
La Expiración del Período de Subsanación
La CPA original incluía un período de subsanación de 60 días que exigía que la Fiscalía General o un fiscal de distrito otorgaran a un controlador un aviso escrito de una presunta violación antes de presentar una demanda. Esa disposición estuvo vigente solo hasta el 1 de enero de 2025, fecha en la que expiró. A partir del 1 de enero de 2025, la Fiscalía General y los fiscales de distrito pueden iniciar acciones de aplicación contra controladores que no cumplan, sin emitir primero un aviso de subsanación. No existe un período de gracia, no se requiere una carta de advertencia, y no hay derecho a subsanar la violación antes de que se acumulen las sanciones.
Una excepción limitada: bajo las disposiciones de datos de menores de la SB 24-041, agregadas en C.R.S. secciones 6-1-1305.5, 6-1-1308.5 y 6-1-1309.5, todavía se requiere un aviso de subsanación separado de 60 días antes de la aplicación de esas secciones específicas sobre datos de menores. Esa disposición de subsanación para datos de menores está programada para expirar el 31 de diciembre de 2026.
PRÓXIMO: Cambio de Geolocalización de la SB 25-276 (12 de agosto de 2026)
La SB 25-276, firmada en 2025 y vigente desde el 12 de agosto de 2026, enmienda el tratamiento que la CPA da a los datos de geolocalización precisa. Los controladores deben revisar el texto estatutario actualizado antes de esa fecha para confirmar si las actividades de procesamiento que involucran datos de ubicación requieren mecanismos de consentimiento revisados, actualizaciones de las DPA, o enmiendas al aviso de privacidad. Este cambio, señalado con fecha específica, aún no está en vigor.
Elementos del Programa de Cumplimiento
- Designar a un responsable interno nombrado para el cumplimiento de la CPA, con autoridad y presupuesto documentados.
- Mantener un calendario de cumplimiento: revisión anual del umbral de aplicabilidad, auditoría del aviso de privacidad, revisión de las DPA para nuevas actividades de procesamiento, verificación del registro del UOOM, y auditoría de los contratos con procesadores.
- Capacitar al personal de servicio al cliente, ingeniería y marketing sobre el flujo de trabajo de solicitudes del consumidor, el requisito de detección de GPC, y las reglas de consentimiento para datos sensibles.
- Mantener todas las DPA, contratos con procesadores, registros de consentimiento y registros de solicitudes del consumidor en un sistema documentado y recuperable. La autoridad de la Fiscalía General para exigir investigaciones civiles significa que usted debe poder producir estos documentos en un plazo breve.
Para el resumen completo de la ley de privacidad de datos de Colorado, incluyendo cómo encaja la CPA dentro del panorama nacional más amplio de las leyes estatales de privacidad, consulte la página principal.
Más Leyes de Colorado
- Leyes de Grabación de Reuniones con IA de Colorado
- Leyes de Pensión Alimenticia de Colorado
- Leyes de Empleo a Voluntad de Colorado
- Leyes de Accidentes Automovilísticos de Colorado
- Leyes de Asientos de Seguridad para Niños de Colorado
- Leyes de Custodia de Menores de Colorado
- Leyes de Manutención Infantil de Colorado
- Leyes de Matrimonio de Hecho de Colorado
- Leyes de Deepfake de Colorado
- Leyes de Divorcio de Colorado
- Leyes de Mordedura de Perro de Colorado
- Leyes de Emancipación de Colorado
- Leyes de Eliminación de Antecedentes de Colorado
- Leyes de Choque y Fuga de Colorado
- Leyes de Propietario e Inquilino de Colorado
- Leyes del Limón de Colorado
Guías Relacionadas
- ¿Qué Es la Ley de Privacidad de Colorado (CPA)?
- Derechos del Consumidor Bajo la Ley de Privacidad de Colorado y Cómo Usarlos
- Leyes de Privacidad de Datos de Colorado: Guía de Derechos del Consumidor bajo la CPA (2026)
- Leyes de Privacidad Biométrica de Colorado: Recopilación, Consentimiento y Sanciones (2026)
- Tabla Comparativa de las Leyes de Privacidad de los Estados de EE. UU. (2026)
Preguntas frecuentes
¿Se aplica la Ley de Privacidad de Colorado a las organizaciones sin fines de lucro?
Sí. A diferencia de la VCDPA de Virginia, la TDPSA de Texas y la mayoría de las demás leyes estatales de privacidad, la CPA no incluye una exención general a nivel de entidad para las organizaciones sin fines de lucro. Una organización sin fines de lucro que realice negocios en Colorado y cumpla con cualquiera de los umbrales de aplicabilidad (100,000 consumidores, o 25,000 consumidores con algún ingreso por la venta de datos personales) es un controlador cubierto con el conjunto completo de obligaciones de la CPA. La SB 24-129 abordó cuestiones limitadas de datos de miembros, pero no creó una exención general para las organizaciones sin fines de lucro.
¿Qué es el Control de Privacidad Global (GPC) y por qué es importante para el cumplimiento en Colorado?
El Control de Privacidad Global es una señal de privacidad a nivel de navegador que permite a los usuarios optar por no participar en la venta de datos y la publicidad dirigida en todos los sitios que visitan mediante una única configuración persistente. Desde el 1 de julio de 2024, la Fiscalía General de Colorado ha reconocido formalmente a GPC como el único Mecanismo Universal de Exclusión válido bajo la CPA. Los controladores deben detectar las señales de GPC automáticamente y tratarlas como una exclusión válida de la venta de datos y la publicidad dirigida, sin exigir que el consumidor realice ningún paso adicional. Los controladores también deben describir su manejo de GPC en su política de privacidad bajo 4 CCR 904-3, Regla 6.03(4)(e).
¿Todavía existe un período de subsanación bajo la Ley de Privacidad de Colorado?
No para la mayoría de las violaciones. El período de subsanación original de 60 días expiró el 1 de enero de 2025. La Fiscalía General y los fiscales de distrito ahora pueden iniciar acciones de aplicación de inmediato al identificar una violación, sin emitir primero un aviso y una oportunidad de subsanar. Todavía se aplica una disposición limitada de subsanación a las secciones de datos de menores agregadas por la SB 24-041 (C.R.S. secciones 6-1-1305.5, 6-1-1308.5 y 6-1-1309.5), pero ese período de subsanación para datos de menores también está programado para expirar el 31 de diciembre de 2026.
¿Cuándo exige la CPA consentimiento expreso (opt-in) frente a exclusión (opt-out)?
Se requiere consentimiento afirmativo expreso (opt-in) antes de procesar datos sensibles bajo C.R.S. sección 6-1-1308(7). Los datos sensibles incluyen el origen racial o étnico, la condición o diagnóstico de salud, los identificadores biométricos, la geolocalización precisa, los datos genéticos, el estatus de ciudadanía o migratorio, la vida sexual o la orientación sexual, y los datos personales de un menor conocido, entre otros. Los derechos de exclusión (opt-out) se aplican a la venta de datos, la publicidad dirigida y la elaboración de perfiles de alto riesgo. Para todo otro procesamiento estándar, no se requiere ni consentimiento expreso ni de exclusión, siempre que el procesamiento sea coherente con los propósitos divulgados.
¿Los requisitos de evaluación de protección de datos se aplican retroactivamente bajo la CPA?
No. C.R.S. sección 6-1-1309 exige las DPA únicamente para las actividades de procesamiento creadas o generadas después del 1 de julio de 2023. El procesamiento que estaba completamente establecido antes de esa fecha no está sujeto a un requisito retroactivo de DPA. Sin embargo, las nuevas actividades de procesamiento, las nuevas relaciones de intercambio de datos, y las operaciones existentes materialmente modificadas desde esa fecha sí requieren una evaluación documentada, y la Fiscalía General puede exigir su presentación mediante una solicitud de investigación civil.
¿Cuál es la sanción máxima por una violación de la Ley de Privacidad de Colorado?
Hasta $20,000 por violación bajo C.R.S. sección 6-1-112, que rige las sanciones civiles por prácticas comerciales engañosas bajo la Ley de Protección al Consumidor de Colorado. La Fiscalía General también puede buscar medidas cautelares y recuperar los costos de investigación y los honorarios de abogados. No existe un derecho de acción privada; solo la Fiscalía General y los fiscales de distrito pueden iniciar acciones de aplicación.
¿En qué se diferencia el segundo umbral de aplicabilidad de Colorado del de Virginia?
El segundo elemento de Colorado cubre a cualquier controlador que obtenga algún ingreso o reciba algún descuento por la venta de datos personales Y procese datos de 25,000 o más consumidores. Virginia exige que más del 50 por ciento de los ingresos brutos provengan de la venta de datos para activar la cobertura del umbral inferior. El estándar de Colorado es materialmente más amplio: incluso una fuente de ingresos pequeña o incidental por la venta de datos puede activar la cobertura de la CPA para un controlador que procese 25,000 o más registros de consumidores de Colorado.
¿Qué obligaciones específicas sobre datos biométricos impone Colorado por separado de la CPA general?
La HB 24-1130, vigente desde el 1 de julio de 2025, agrega requisitos independientes sobre datos biométricos, más allá de lo que ya impone el marco de datos sensibles de la CPA. Los controladores que recopilan o procesan identificadores biométricos deben: adoptar y publicar una política escrita de retención y eliminación; almacenar, transmitir y proteger los datos biométricos utilizando el estándar de cuidado de la industria; y obtener consentimiento afirmativo antes de recopilar datos biométricos. Los empleadores no pueden condicionar el empleo a que se otorgue el consentimiento biométrico.
Fuentes y referencias
- C.R.S. secciones 6-1-1301 a 6-1-1313 (Ley de Privacidad de Colorado), SB21-190(leg.colorado.gov).gov
- 4 CCR 904-3 (Reglas de la Ley de Privacidad de Colorado, finalizadas el 15 de marzo de 2023)(coag.gov).gov
- SB 24-041: Protecciones de Privacidad para los Datos en Línea de Menores (vigente desde el 1 de octubre de 2025)(leg.colorado.gov).gov
- HB 24-1130: Privacidad de Identificadores y Datos Biométricos (vigente desde el 1 de julio de 2025)(leg.colorado.gov).gov
- SB24-129: Privacidad de Datos de Miembros de Organizaciones Sin Fines de Lucro y Agencias Públicas(leg.colorado.gov).gov
- SB 25-276: Datos de Geolocalización bajo la Ley de Privacidad de Colorado (vigente desde el 12 de agosto de 2026)(leg.colorado.gov).gov
- Registro del Mecanismo Universal de Exclusión de la Fiscalía General de Colorado(coag.gov).gov
- Página de Recursos de la CPA de la Fiscalía General de Colorado(coag.gov).gov
- Preguntas Frecuentes de la Fiscalía General de Colorado: Leyes de Protección de Datos para Empresas(coag.gov).gov