Colorado
Derechos del Consumidor de la Ley de Privacidad de Colorado (CPA) y Cómo Usarlos

Si vive en Colorado, la Ley de Privacidad de Colorado (C.R.S. secciones 6-1-1301 a 6-1-1314, vigente desde el 1 de julio de 2023) le otorga siete derechos específicos sobre los datos personales que las empresas recopilan sobre usted, y, de manera única, le permite ejercer los más importantes automáticamente a través de una señal del navegador llamada Global Privacy Control. Aquí está cada derecho que tiene, cómo usarlo, y qué hacer cuando una empresa dice que no.
¿Quién Está Protegido por la Ley de Privacidad de Colorado?
La CPA protege a los residentes de Colorado, definidos como "consumidores" bajo la sección 6-1-1303 del C.R.S., que actúan en calidad personal o doméstica. Los derechos descritos en este artículo no se aplican a los datos que su empleador tiene sobre usted en su calidad de empleado; la ley excluye expresamente los datos procesados en un contexto comercial o laboral.
La ley cubre a los "controladores", es decir, las empresas que deciden cómo y por qué se procesan los datos personales. Un controlador está sujeto a la CPA si, durante un año calendario, procesa datos personales de al menos 100,000 consumidores de Colorado, o procesa datos personales de al menos 25,000 consumidores de Colorado mientras deriva más del 25 por ciento de sus ingresos brutos de la venta de datos personales. Las pequeñas empresas con bases de usuarios limitadas en Colorado pueden quedar por debajo de estos umbrales.
Los derechos bajo la CPA no se extienden a los datos desidentificados ni a los datos procesados para ciertos fines exentos, como la prevención de fraude, la investigación bajo supervisión de un comité de ética, el periodismo, o el cumplimiento de una obligación legal. Sin embargo, para la mayoría de los datos recopilados por aplicaciones, minoristas, corredores de datos y plataformas en línea, sus derechos se aplican en su totalidad.
Para una explicación más amplia de cómo funciona la ley y qué empresas cubre, consulte Qué es la Ley de Privacidad de Colorado.
Derecho de Acceso: Obtenga una Copia de Sus Datos
Conforme a la sección 6-1-1306(1)(b) del C.R.S., usted puede pedirle a cualquier empresa cubierta que confirme si está procesando datos personales sobre usted y que le proporcione una copia de esos datos. El derecho tiene dos componentes: el derecho de confirmación (¿la empresa tiene mis datos?) y el derecho de acceso (muéstreme los datos específicos que tiene).
La Regla 4.04 del 4 CCR 904-3 exige que la respuesta se entregue en un formato "conciso, transparente y fácilmente comprensible", en un formato electrónico de uso común, y en su idioma de interacción preferido. Una empresa puede redactar identificadores sensibles como números de identificación gubernamental, números de cuenta financiera y plantillas biométricas de una respuesta de acceso, pero aun así debe informarle que posee esas categorías de datos.
Cómo ejercerlo: Busque en el pie de página del sitio web enlaces etiquetados "Derechos de Privacidad", "Solicitud de Privacidad del Consumidor", "Sus Opciones de Privacidad", o "Solicitud de Acceso a Datos". Conforme a la Regla 4.02, las empresas deben proporcionar al menos dos métodos de envío designados. Es posible que se le pida verificar su identidad, pero la empresa debe autenticarlo usando información que ya posee en lugar de exigirle que proporcione nuevos datos personales.
La empresa debe responder dentro de 45 días de recibir su solicitud autenticada, conforme a la sección 6-1-1306(2)(a) del C.R.S. Si la complejidad o el número de solicitudes requiere más tiempo, puede extender por un período adicional de 45 días, pero debe notificarle antes de que expire el plazo original. Su primera solicitud dentro de cualquier período de 12 meses es gratuita. Una segunda solicitud o solicitudes posteriores dentro del mismo período de 12 meses pueden conllevar una tarifa calculada conforme a la sección 6-1-1306(2)(c) del C.R.S., que hace referencia a la tarifa de la Ley de Registros Abiertos de Colorado de hasta $0.25 por página estándar para registros en papel. No se aplica ninguna tarifa por página cuando los registros se entregan en formato digital o electrónico, lo cual cubre la gran mayoría de las respuestas de datos de la CPA.
Derecho a Corregir Datos Inexactos
La sección 6-1-1306(1)(c) del C.R.S. le permite exigir a una empresa que corrija inexactitudes en los datos personales que tiene sobre usted, tomando en cuenta la naturaleza de los datos y los fines del procesamiento. Este derecho es más importante para los datos que afectan las decisiones tomadas sobre usted, como los perfiles relacionados con crédito, los registros de salud, la información de contacto, o las puntuaciones de comportamiento.
La Regla 4.05 del 4 CCR 904-3 establece un estándar notablemente favorable para el consumidor: si la empresa carece de documentación original y usted afirma que los datos son incorrectos, su afirmación por sí sola es suficiente. El único fundamento por el cual un controlador puede denegar una solicitud de corrección es una determinación de que los datos en disputa son "más probablemente exactos que no". Esa es la carga de la empresa de demostrar, no la suya.
Cómo ejercerlo: Presente una solicitud de corrección a través del canal de derechos de privacidad de la empresa. Identifique el campo o dato específico que considera inexacto y, cuando sea posible, proporcione evidencia del valor correcto. La empresa tiene 45 días para responder, extendibles por 45 días más con aviso previo. Debe indicarle qué acción tomó o proporcionar una razón para negarse.
Si la empresa disputa su corrección, la denegación activa su derecho de apelación, descrito en una sección posterior.
Derecho a Eliminar Sus Datos Personales
Conforme a la sección 6-1-1306(1)(d) del C.R.S., usted puede solicitar la eliminación permanente de los datos personales que una empresa tiene sobre usted. Esto cubre tanto los datos que usted proporcionó directamente, como la información de la cuenta y el historial de compras, como los datos que la empresa obtuvo de terceros o derivó mediante la elaboración de perfiles.
La Regla 4.06 del 4 CCR 904-3 especifica dos métodos de eliminación permitidos: la empresa debe borrar de manera permanente y completa los datos de sus sistemas existentes, o desidentificarlos de tal manera que ya no puedan vincularse a usted. De manera crucial, la empresa también debe instruir a cada uno de sus procesadores de datos, los proveedores y contratistas con quienes comparte sus datos, para que también eliminen sus datos. En el caso de copias archivadas o de respaldo, la eliminación puede retrasarse hasta que se restaure o acceda nuevamente al respaldo.
Cómo ejercerlo: Presente una solicitud de eliminación a través del portal de privacidad o el correo electrónico designado de la empresa. Sea lo más específico posible sobre las categorías de datos que desea que se eliminen. El plazo de respuesta de 45 días comienza al recibir su solicitud autenticada.
La eliminación no es absoluta. La CPA permite a los controladores retener datos necesarios para completar una transacción, detectar incidentes de seguridad, cumplir con una obligación legal, ejercer derechos de libertad de expresión, o realizar ciertas funciones de investigación. Si una empresa deniega una solicitud de eliminación total o parcialmente, debe explicar qué excepción se aplica.

Derecho a la Portabilidad de Datos: Lleve Sus Datos Con Usted
La sección 6-1-1306(1)(e) del C.R.S. le otorga el derecho a obtener una copia de sus datos personales en un formato portable que le permita transmitirlos a otro servicio o controlador sin obstáculos. La portabilidad se diferencia del derecho de acceso porque está diseñada específicamente para la transferencia de datos, no solo para su revisión.
La Regla 4.07 del 4 CCR 904-3 exige que los datos se entreguen "a través de un método seguro en un formato electrónico de uso común" que "sea fácilmente utilizable" y le permita transferir los datos a otra entidad. Los formatos comunes incluyen CSV y JSON. Una empresa puede retener datos que revelarían secretos comerciales, pero debe proporcionar tanta información en bruto como sea posible y no puede usar la complejidad técnica como una excusa general.
Cómo ejercerlo: Solicite una exportación de datos a través del canal de derechos de privacidad de la empresa, especificando que desea una copia portable. Guarde la confirmación de su envío. La empresa debe responder dentro de 45 días, extendibles por 45 días más con aviso previo. Su primera solicitud de exportación dentro de cualquier período de 12 meses es gratuita. Debido a que las respuestas de portabilidad de la CPA se entregan electrónicamente, no se aplica ninguna tarifa por página de copia a las solicitudes posteriores entregadas en formato digital.
Para los datos que contienen inferencias que la empresa derivó internamente, la empresa puede tener más discreción para retener conclusiones derivadas de secretos comerciales, pero debe proporcionar los datos observables subyacentes sobre su comportamiento.
Derecho a Optar por No Participar: Publicidad Dirigida, Venta de Datos y Elaboración de Perfiles
La sección 6-1-1306(1)(a)(I) del C.R.S. otorga tres derechos distintos de exclusión que puede ejercer por separado o en conjunto:
- Publicidad dirigida. Detener el uso de sus datos personales, recopilados a través de diferentes sitios web, aplicaciones o fuentes fuera de línea, para seleccionar anuncios adaptados a sus intereses o características inferidas. Esto cubre la publicidad conductual entre contextos, sin importar si sus datos fueron vendidos.
- Venta de datos personales. Detener la transferencia de sus datos personales a un tercero a cambio de una contraprestación monetaria. A diferencia de la definición más amplia de "venta" de la CPRA de California, la "venta" bajo la CPA significa que efectivamente cambia de manos dinero.
- Elaboración de perfiles en apoyo de decisiones significativas. Detener el procesamiento automatizado que produce efectos legales o de importancia similar respecto a usted. Conforme a la Regla 9.04 del 4 CCR 904-3, esta exclusión se aplica específicamente cuando la elaboración de perfiles impulsa decisiones que afectan los servicios financieros o de préstamos, la vivienda, los seguros, la inscripción u oportunidad educativa, la justicia penal, el empleo, la atención médica, o el acceso a otros bienes y servicios esenciales.
Conforme a la Regla 4.03, las empresas deben dejar de procesar para el propósito excluido "tan pronto como sea factible sin demora indebida" después de que usted ejerza un derecho de exclusión.
Cómo ejercerlo: Busque enlaces de "No Vender Mis Datos", "Excluirme de la Publicidad Dirigida", o "Derechos de Privacidad de Colorado", típicamente en el pie de página del sitio. Puede ejercer las tres exclusiones a través del formulario directo de la empresa, o, para las dos primeras, mediante una única acción a nivel de navegador usando el Global Privacy Control como se describe en la siguiente sección.
La Característica Distintiva de Colorado: El Mecanismo Universal de Exclusión y el Global Privacy Control
Colorado es el primer estado del país en exigir que las empresas cubiertas respeten una señal de exclusión a nivel de navegador. A partir del 1 de julio de 2024, la sección 6-1-1313(2) del C.R.S. exige que todo controlador sujeto a la CPA reconozca cualquier Mecanismo Universal de Exclusión (UOOM) en la lista aprobada por el Fiscal General de Colorado. El Fiscal General publica y mantiene esa lista en coag.gov/opt-out/ y puede actualizarla periódicamente conforme a la Regla 5.07 del 4 CCR 904-3.
De 2024 a 2025, el Global Privacy Control (GPC) es el único mecanismo en la lista reconocida por el Fiscal General.
Qué hace el GPC: Cuando el GPC está activo en su navegador, envía un encabezado HTTP (Sec-GPC: 1) y una propiedad de JavaScript (navigator.globalPrivacyControl: true) a cada sitio web que visita. Un controlador cubierto de Colorado que recibe esta señal está legalmente obligado a tratarla como una solicitud de exclusión de la publicidad dirigida y la venta de datos, automáticamente, sin ningún paso adicional de su parte. No necesita encontrar el portal de privacidad de cada empresa ni presentar formularios individuales.
Lo que el GPC no cubre: Conforme a la Regla 5.03 del 4 CCR 904-3, los controladores están obligados a respetar las señales del UOOM únicamente para los dos fines estatutarios de exclusión: publicidad dirigida y venta. La exclusión de elaboración de perfiles conforme a la Regla 9.04 no está cubierta por el GPC y debe ejercerse directamente a través del mecanismo de exclusión de la empresa. Los controladores también pueden verificar la residencia en Colorado antes de tratar una señal del GPC como obligatoria, aunque no están obligados a hacerlo.
Comparación con otros estados: Connecticut también exige el reconocimiento de las señales del GPC. La VCDPA de Virginia no lo exige; los residentes de Virginia deben presentar solicitudes de exclusión individuales directamente a cada empresa. La CPRA de California creó una vía universal de exclusión similar, pero el cumplimiento por parte de las empresas sigue siendo voluntario bajo el marco de California, lo que convierte a Colorado y Connecticut en los líderes actuales en la exclusión automatizada obligatoria.
Cómo Habilitar el GPC: Paso a Paso
El GPC requiere un navegador compatible o una extensión de navegador. La configuración toma menos de dos minutos.
Firefox (escritorio y Android): Abra Configuración y navegue a Privacidad y Seguridad. Desplácese hacia abajo hasta la sección "Preferencias de Privacidad del Sitio Web". Marque la casilla etiquetada "Decirles a los sitios web que no vendan ni compartan mis datos". Firefox comenzará inmediatamente a enviar la señal del GPC a cada sitio que visite.
Brave (escritorio e iOS/Android): Abra Configuración y vaya a Privacidad y Seguridad, luego seleccione Global Privacy Control. Active el interruptor. La implementación del GPC de Brave está integrada en el navegador y no requiere una extensión.
Google Chrome: Chrome no incluye una configuración nativa de GPC. Instale la extensión DuckDuckGo Privacy Essentials desde la Chrome Web Store o Privacy Badger de la EFF. Ambas extensiones envían la señal del GPC en su nombre una vez activadas. DuckDuckGo Privacy Essentials también proporciona bloqueo de rastreadores como beneficio adicional.
Apple Safari (macOS e iOS): Safari no es compatible de forma nativa con el GPC. Instale DuckDuckGo Privacy Essentials desde la Mac App Store o la App Store de iOS para habilitar la señal en Safari.
Una vez activo, verifique el estado de su GPC visitando globalprivacycontrol.org, que confirmará si su navegador está transmitiendo la señal. Si una empresa cubierta de Colorado ignora su señal del GPC, ese incumplimiento es una base para presentar una queja ante el Fiscal General de Colorado.
Datos Sensibles: Cuándo Debe Dar Consentimiento Afirmativo
Para ciertas categorías de datos personales, la CPA invierte por completo el criterio predeterminado. En lugar de procesar primero y permitirle excluirse después, una empresa debe obtener su consentimiento afirmativo (opt-in) antes de que comience cualquier procesamiento. Este es un estándar más alto, y significa que usted nunca se encuentra en la posición de tener que "atrapar" a una empresa después de los hechos.
Conforme a la sección 6-1-1303 del C.R.S. y la Regla 7.02 del 4 CCR 904-3, los datos sensibles bajo la CPA incluyen:
- Datos que revelan el origen racial o étnico
- Datos que revelan creencias religiosas
- Datos relacionados con condiciones o diagnósticos de salud mental o física
- Datos relacionados con la vida sexual o la orientación sexual
- Datos relacionados con la ciudadanía o el estatus migratorio
- Datos biométricos procesados con el propósito de identificar de manera única a una persona
- Datos de geolocalización precisa (generalmente definidos como la identificación de la ubicación dentro de un radio de aproximadamente 1,750 pies)
- Datos personales relacionados con un menor conocido
El consentimiento conforme a la Regla 7.02 debe ser otorgado libremente, específico, informado e inequívoco. Las casillas premarcadas, el silencio y la inactividad no califican. Si una empresa está procesando sus datos sensibles sin un registro claro de consentimiento, eso constituye una infracción de la sección 6-1-1308 del C.R.S. y es una base para presentar una queja ante el Fiscal General de Colorado.

Protecciones Especiales para Menores (Vigentes desde el 1 de Octubre de 2025)
El SB 24-041, promulgado el 31 de mayo de 2024, y vigente desde el 1 de octubre de 2025, enmienda la Ley de Privacidad de Colorado para agregar protecciones reforzadas cuando una empresa sabe o desestima deliberadamente que un usuario es menor de edad.
Conforme al SB 24-041, un controlador que ofrece un servicio, producto o función en línea a un consumidor que sabe o desestima deliberadamente que es menor de edad debe: usar cuidado razonable para evitar un riesgo elevado de daño al menor; obtener consentimiento antes de realizar publicidad dirigida a un menor; obtener consentimiento antes de vender los datos personales de un menor a terceros; y obtener consentimiento antes de elaborar perfiles de un menor en relación con decisiones que produzcan consecuencias legales o de importancia similar. Los datos de geolocalización precisa de un menor no pueden recopilarse salvo bajo circunstancias específicas.
Para los consumidores menores de 13 años, el consentimiento debe provenir de un padre, madre o tutor legal en lugar del menor. Los controladores no están obligados a implementar sistemas de verificación de edad; un proceso de estimación de edad comercialmente razonable protege a una empresa de responsabilidad. Sin embargo, si una empresa tiene conocimiento real de que un usuario es menor de edad, no puede recurrir a esa protección.
Estas protecciones se suman al marco federal existente de la COPPA para menores de 13 años. El SB 24-041 de Colorado extiende protecciones adicionales a los menores de entre 13 y 17 años que van más allá del alcance de la COPPA.
Cómo Presentar una Solicitud de Derechos de la CPA
Conforme a la Regla 4.02 del 4 CCR 904-3, cada controlador cubierto debe proporcionar al menos dos métodos designados para presentar solicitudes de derechos, tomando en cuenta cómo los consumidores normalmente interactúan con la empresa. En la práctica, la mayoría de las empresas ofrecen:
- Un portal de privacidad en línea o formulario web, típicamente enlazado como "Sus Opciones de Privacidad", "Derechos de Exclusión de Colorado", "No Vender Mis Datos", o "Solicitud de Privacidad del Consumidor" en el pie de página del sitio web
- Una dirección de correo electrónico dedicada como privacy@company.com o datarights@company.com
- Algunas empresas más grandes también proporcionan un número telefónico gratuito
Proceso paso a paso:
- Encuentre la política de privacidad de la empresa o el enlace del pie de página para solicitudes de derechos del consumidor.
- Seleccione el derecho que desea ejercer: acceso, corrección, eliminación, portabilidad, o exclusión de uno o más fines.
- Proporcione información de identificación para que la empresa pueda autenticarlo conforme a la Regla 4.08. Típicamente esto significa su nombre y la dirección de correo electrónico asociada con su cuenta.
- Envíe la solicitud y guarde la confirmación, ya sea una captura de pantalla o un correo electrónico de confirmación con un número de referencia.
- El plazo de respuesta de 45 días comienza desde la fecha en que la empresa recibe su solicitud autenticada.
No se le puede exigir que cree una cuenta nueva para presentar una solicitud, conforme a la Regla 4.02. Si ya tiene una cuenta protegida con contraseña con la empresa, puede exigirle que la use para la autenticación. La empresa no debe solicitar más datos personales de los razonablemente necesarios para verificar su identidad; la Regla 4.08 instruye a los controladores a evitar solicitar datos personales adicionales si pueden autenticarlo usando información que ya poseen.
Si la empresa no puede autenticar su solicitud usando medios comercialmente razonables, puede solicitar verificación adicional en lugar de denegarle la solicitud de plano. Los datos de autenticación recopilados únicamente para una solicitud de derechos deben eliminarse tan pronto como sea posible después de que se procese la solicitud.
Qué Hacer si una Empresa Deniega Su Solicitud: El Proceso de Apelación de la CPA
La sección 6-1-1306(3) del C.R.S. establece una vía de escalamiento de dos etapas con plazos claros y una remisión obligatoria al Fiscal General si ambas etapas fallan.
Etapa 1: Apelación interna ante el controlador.
Si una empresa deniega su solicitud inicial, la sección 6-1-1306(3)(a) del C.R.S. exige que el controlador tenga un proceso de apelación interno que sea "visiblemente disponible y tan fácil de usar como el proceso para presentar una solicitud". No necesita un abogado para presentar una apelación; use el mismo portal de privacidad que usó para su solicitud original, o un correo electrónico de apelación separado si la empresa lo proporciona.
En su apelación, indique claramente que está apelando la denegación, identifique su solicitud original y la fecha en que la presentó, y explique por qué considera que la denegación fue improcedente. La empresa debe responder a su apelación por escrito, con razones, dentro de 45 días de recibirla, conforme a la sección 6-1-1306(3)(b) del C.R.S. Para apelaciones complejas, la empresa puede extender por 60 días adicionales, pero debe notificarle antes de que expire el plazo original.
Etapa 2: Queja ante el Fiscal General de Colorado.
Si la empresa deniega su apelación, la sección 6-1-1306(3)(c) del C.R.S. le exige informarle sobre la posibilidad de contactar al Fiscal General de Colorado. Presente una queja de privacidad de datos en coag.gov/file-a-complaint/data-privacy-data-breach/ o llame al 800-222-4444.
Al presentar la queja, incluya el nombre de la empresa, las fechas de su solicitud original y la denegación, las fechas de su apelación y la denegación de la apelación, y copias de toda la correspondencia. El Fiscal General y los fiscales de distrito comparten la autoridad de aplicación conforme a la sección 6-1-1311 del C.R.S. Las sanciones civiles pueden alcanzar $20,000 por infracción conforme a la Ley de Protección al Consumidor de Colorado. Si bien el Fiscal General no puede garantizar una acción sobre cada queja individual, los patrones documentados de infracciones son un factor principal que desencadena investigaciones.
Si la empresa ignoró por completo su solicitud inicial sin responder dentro de 45 días, no es posible apelar; puede presentar la queja directamente ante el Fiscal General porque no hay ninguna respuesta que apelar.
Sin Represalias: Su Derecho Contra la Discriminación
Un controlador cubierto por la CPA no puede penalizarlo por ejercer sus derechos de privacidad. Conforme a la sección 6-1-1306 del C.R.S. y el 4 CCR 904-3, esto significa que una empresa no puede aumentar sus precios, degradar su nivel de servicio, negarle el acceso a un producto, o tratarlo de manera diferente únicamente porque presentó una solicitud de derechos, ejerció una exclusión, o habilitó el GPC en su navegador.
La prohibición es directa: un controlador "no puede aumentar el costo o disminuir la disponibilidad de un producto o servicio" basándose únicamente en el ejercicio de un derecho de datos por parte de un consumidor.
Existe una excepción limitada: los controladores pueden ofrecer beneficios de programas de lealtad genuinos a los consumidores que voluntariamente acepten compartir datos o participar en programas de publicidad dirigida. Un descuento de un programa de lealtad que desaparece cuando usted se excluye no es automáticamente discriminación bajo la CPA, siempre que el programa sea genuinamente voluntario y esté divulgado. Sin embargo, vincular la disponibilidad o el precio del servicio básico al intercambio de datos cruza la línea.
Si considera que una empresa lo penalizó por ejercer sus derechos bajo la CPA, documente el trato recibido, incluyendo cualquier cambio de precio o servicio y su momento en relación con su solicitud, e incluya esa documentación en una queja ante el Fiscal General.
Más Leyes de Colorado
- Leyes de Grabación de Reuniones con IA de Colorado
- Leyes de Pensión Alimenticia de Colorado
- Leyes de Empleo a Voluntad de Colorado
- Leyes de Accidentes de Auto de Colorado
- Leyes de Asientos de Seguridad para Niños de Colorado
- Leyes de Custodia de los Hijos de Colorado
- Leyes de Manutención de los Hijos de Colorado
- Leyes de Matrimonio de Hecho de Colorado
- Leyes de Deepfake de Colorado
- Leyes de Divorcio de Colorado
- Leyes de Mordedura de Perro de Colorado
- Leyes de Emancipación de Colorado
- Leyes de Eliminación de Antecedentes de Colorado
- Leyes de Atropello y Fuga de Colorado
- Leyes de Propietarios e Inquilinos de Colorado
- Leyes Limón de Colorado
Guías relacionadas
- ¿Qué es la Ley de Privacidad de Colorado (CPA)?
- Lista de Verificación de Cumplimiento de la CPA (2026)
- Leyes de Privacidad de Datos de Colorado: Guía de Derechos del Consumidor de la CPA (2026)
- Leyes de Privacidad Biométrica de Colorado: Recopilación, Consentimiento y Sanciones (2026)
- Tabla Comparativa de Leyes de Privacidad Estatales de EE. UU. (2026)
Preguntas frecuentes
¿Colorado exige que todos los sitios web respeten el Global Privacy Control?
Solo califican los controladores cubiertos: aquellos que procesan datos de al menos 100,000 consumidores de Colorado al año, o 25,000 consumidores donde más del 25 por ciento de los ingresos proviene de la venta de datos. Los sitios pequeños con usuarios mínimos de Colorado están exentos. Para los sitios que sí califican, respetar el GPC ha sido obligatorio desde el 1 de julio de 2024, conforme a la sección 6-1-1313(2) del C.R.S. Virginia, en cambio, no tiene tal requisito bajo su VCDPA.
¿Cuál es la diferencia entre excluirse de la venta y excluirse de la publicidad dirigida bajo la CPA?
Una venta bajo la CPA es un intercambio de sus datos personales por una contraprestación monetaria: el dinero efectivamente cambia de manos. La publicidad dirigida es más amplia y cubre el uso de sus datos de comportamiento entre sitios o aplicaciones para mostrarle anuncios incluso si sus datos no fueron vendidos. El Global Privacy Control lo excluye de ambos fines automáticamente. También puede excluirse de cada uno por separado a través de los enlaces de exclusión directa de una empresa.
¿Puedo presentar una solicitud de la CPA a través de un agente autorizado?
Sí. Conforme a la Regla 4.03 del 4 CCR 904-3, un agente autorizado puede presentar solicitudes de exclusión en su nombre. La empresa puede verificar la autoridad del agente usando métodos comercialmente razonables. Para otros derechos como el acceso, la eliminación y la corrección, las Reglas permiten de manera similar agentes autorizados sujetos a la verificación de identidad y autoridad.
¿Cuánto tiempo tiene una empresa para responder a mi apelación bajo la CPA?
45 días desde la fecha en que la empresa recibe su apelación, conforme a la sección 6-1-1306(3)(b) del C.R.S. La empresa puede extender por 60 días adicionales en casos complejos, pero debe notificarle antes de que cierre el plazo original. Si se deniega la apelación, la empresa debe dirigirlo al proceso de queja del Fiscal General de Colorado.
¿La CPA cubre los datos que mi empleador tiene sobre mí como empleado?
No. La CPA define al consumidor como un residente de Colorado que actúa en un contexto personal o doméstico. Los datos que su empleador tiene sobre usted en su calidad de empleado, incluyendo registros de nómina, archivos de recursos humanos y comunicaciones laborales, están actualmente excluidos de los derechos del consumidor bajo la CPA.
¿Qué sucede si una empresa ignora por completo mi solicitud bajo la CPA?
No responder dentro de 45 días, o 90 días con una extensión notificada oportunamente, es una infracción de la sección 6-1-1306(2) del C.R.S. Debido a que no hay ninguna respuesta que apelar, puede pasar directamente a presentar una queja ante el Fiscal General de Colorado en coag.gov/file-a-complaint/data-privacy-data-breach/ o llamando al 800-222-4444. Las sanciones pueden alcanzar $20,000 por infracción conforme a la Ley de Protección al Consumidor de Colorado.
¿Colorado tiene un derecho de acción privado por infracciones de la CPA?
No. La aplicación es exclusivamente del Fiscal General de Colorado o de los fiscales de distrito conforme a la sección 6-1-1311 del C.R.S. Los consumidores individuales no pueden demandar directamente a una empresa por infringir la CPA. Presentar una queja ante la Sección de Protección al Consumidor del Fiscal General es la vía de escalamiento prescrita para el consumidor.
¿Realmente mi segunda solicitud a la CPA me va a costar dinero?
Puede que sí. Su primera solicitud dentro de un período de 12 meses siempre es gratuita conforme a la sección 6-1-1306(2) del C.R.S. Una segunda solicitud o solicitudes posteriores dentro del mismo período de 12 meses pueden estar sujetas a una tarifa calculada conforme a la tarifa de la Ley de Registros Abiertos de Colorado: hasta $0.25 por página estándar para registros en papel. Es importante destacar que no se aplica ninguna tarifa por página cuando los registros se entregan digitalmente, y la mayoría de las empresas responden electrónicamente. Si necesita presentar varias solicitudes en un año, agruparlas en una sola solicitud integral lo mantiene en el nivel gratuito sin importar el formato.
Fuentes y referencias
- C.R.S. sección 6-1-1306. Derechos de datos personales del consumidor (SB 21-190)(leg.colorado.gov)
- 4 CCR 904-3 Regla 4.02. Presentación de Solicitudes para Ejercer Derechos de Datos Personales(law.cornell.edu)
- 4 CCR 904-3 Regla 4.03. Derecho a Excluirse(law.cornell.edu)
- 4 CCR 904-3 Regla 4.04. Derecho de Acceso(law.cornell.edu)
- 4 CCR 904-3 Regla 4.05. Derecho de Corrección(law.cornell.edu)
- 4 CCR 904-3 Regla 4.06. Derecho de Eliminación(law.cornell.edu)
- 4 CCR 904-3 Regla 4.07. Derecho a la Portabilidad de Datos(law.cornell.edu)
- 4 CCR 904-3 Regla 4.08. Autenticación(law.cornell.edu)
- 4 CCR 904-3 Regla 4.09. Respuesta a Solicitudes del Consumidor(law.cornell.edu)
- 4 CCR 904-3 Regla 5.03. Aviso y Elección para los Mecanismos Universales de Exclusión(law.cornell.edu)
- 4 CCR 904-3 Regla 7.02. Consentimiento Requerido(law.cornell.edu)
- 4 CCR 904-3 Regla 9.03. Transparencia de la Exclusión de la Elaboración de Perfiles(law.cornell.edu)
- 4 CCR 904-3 Regla 9.04. Exclusión de la Elaboración de Perfiles en Apoyo de Decisiones que Producen Efectos Legales o de Importancia Similar(law.cornell.edu)
- Fiscal General de Colorado. Exclusión Universal y la Ley de Privacidad de Colorado (Registro UOOM)(coag.gov)
- Fiscal General de Colorado. Presentar una Queja: Privacidad de Datos y Violación de Datos(coag.gov)
- SB 24-041. Protecciones de Privacidad para los Datos en Línea de Menores (firmado el 31 de mayo de 2024; vigente el 1 de octubre de 2025)(leg.colorado.gov)