Colorado
Que es la Ley de Privacidad de Colorado (CPA)?

La Ley de Privacidad de Colorado (CPA), codificada en C.R.S. secciones 6-1-1301 a 6-1-1313, entro en vigor el 1 de julio de 2023, convirtiendo a Colorado en el tercer estado del pais en promulgar una ley integral de privacidad de datos del consumidor. Lo que la distingue no es solo el estatuto en si, sino las detalladas reglas de implementacion (4 CCR 904-3) que adopto la Fiscalia General junto con el, incluyendo un requisito pionero a nivel nacional de que las empresas cubiertas respeten la senal del navegador Global Privacy Control como una exclusion voluntaria legalmente reconocida.
A partir de 2026, la Fiscalia General de Colorado hace cumplir activamente la CPA. El periodo obligatorio de subsanacion de 60 dias que protegia a las empresas del cumplimiento inmediato expiro el 1 de enero de 2025, lo que significa que la Fiscalia General y los fiscales de distrito ahora pueden iniciar acciones de cumplimiento sin emitir primero un aviso de subsanacion.
Que es la Ley de Privacidad de Colorado: estatuto, promulgacion y contexto
La Ley de Privacidad de Colorado es el estatuto integral de privacidad de datos del consumidor de Colorado, codificado en C.R.S. secciones 6-1-1301 a 6-1-1313 como la Parte 13 de la Ley de Proteccion al Consumidor de Colorado (Titulo 6, Articulo 1). El gobernador Jared Polis firmo el Proyecto de Ley del Senado 21-190 el 7 de julio de 2021, dandole a las empresas casi dos anos para prepararse antes de que la ley entrara en vigor el 1 de julio de 2023. Eso convirtio a Colorado en el tercer estado, despues de California y Virginia, en promulgar un regimen amplio de privacidad de datos del consumidor.
La CPA rige como las empresas cubiertas deben recopilar, usar, compartir y proteger los datos personales de los residentes de Colorado. Al igual que la VCDPA de Virginia, su arquitectura toma prestado significativamente del Reglamento General de Proteccion de Datos de la UE (GDPR): usa un marco de controlador-encargado, exige evaluaciones de proteccion de datos para actividades de procesamiento de alto riesgo, y requiere consentimiento afirmativo de inclusion voluntaria para datos sensibles en lugar de un simple mecanismo de exclusion voluntaria. Sin embargo, a diferencia de Virginia, Colorado fue mas lejos al ordenar a la Fiscalia General promulgar reglas de implementacion detalladas y mantener una lista publica de Mecanismos Universales de Exclusion Voluntaria (UOOM) aprobados que las empresas deben respetar.
Las regulaciones complementarias, las Reglas de la Ley de Privacidad de Colorado (4 CCR 904-3), entraron en vigor el 1 de julio de 2023, junto con el estatuto. La Fiscalia General presento esas reglas finales el 15 de marzo de 2023, convirtiendo a Colorado en uno de los pocos estados donde las regulaciones de implementacion y el estatuto de privacidad se lanzaron juntos. Esas reglas agregan especificidad a los estandares de consentimiento, los requisitos de contenido de las evaluaciones de proteccion de datos y el marco UOOM que el estatuto por si solo no proporciona.
Para el marco de cumplimiento completo que cubre las obligaciones del controlador, los contratos con encargados, los requisitos de aviso de privacidad y el historial de cumplimiento, consulte la pagina principal de leyes de privacidad de datos de Colorado.
A quien cubre la Ley de Privacidad de Colorado: umbrales, exenciones y la distincion de organizaciones sin fines de lucro
La CPA alcanza a cualquier persona, incluyendo corporaciones, individuos y organizaciones sin fines de lucro, que haga negocios en Colorado o produzca o entregue productos o servicios comerciales dirigidos intencionalmente a residentes de Colorado, y que cumpla con cualquiera de los dos umbrales establecidos en C.R.S. seccion 6-1-1304(1).
El primer umbral: la empresa controla o procesa datos personales de 100,000 o mas consumidores de Colorado por ano calendario. El segundo umbral: la empresa obtiene ingresos o recibe un descuento en el precio de bienes o servicios por la venta de datos personales y controla o procesa los datos personales de 25,000 o mas consumidores. Ese segundo criterio contiene una distincion critica respecto a la VCDPA de Virginia: Colorado solo requiere que una empresa obtenga cualquier ingreso por la venta de datos personales, no que las ventas de datos representen mas del 50% de los ingresos brutos. Una empresa que obtiene una pequena fraccion de sus ingresos de la venta de datos mientras procesa los datos de 25,000 consumidores de Colorado esta cubierta en Colorado pero puede no estarlo en Virginia.
La CPA tambien cubre a las organizaciones sin fines de lucro que cumplen con esos umbrales, lo cual es otro contraste significativo con Virginia y Texas. Tanto la VCDPA como la Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) eximen por completo a las organizaciones sin fines de lucro. Colorado no lo hace.
Varias categorias de entidades y datos estan exentas bajo C.R.S. seccion 6-1-1304(2) a (4):
- Organismos gubernamentales estatales y locales
- Datos personales usados con fines puramente no comerciales por instituciones estatales de educacion superior
- Entidades cubiertas por HIPAA y asociados comerciales, para datos regulados por HIPAA
- Instituciones financieras y datos regidos por la Ley Gramm-Leach-Bliley (GLBA)
- Aerolineas bajo la ley federal de aviacion
- Datos regulados por la Ley de Informe Justo de Credito (FCRA), la Ley de Derechos Educativos y Privacidad Familiar (FERPA), la Ley de Proteccion de la Privacidad Infantil en Linea (COPPA), la Ley de Proteccion de la Privacidad del Conductor (DPPA) y la Ley de Credito Agricola
Estas exenciones significan que los sistemas de salud que procesan datos regulados por HIPAA, los bancos y cooperativas de credito regulados por GLBA, y las universidades estatales que operan con fines educativos estan en gran medida fuera del alcance de la CPA incluso cuando manejan grandes volumenes de datos de residentes.
Los cinco derechos del consumidor de Colorado bajo la CPA
La CPA otorga a los residentes de Colorado cinco derechos enumerados contra los controladores cubiertos bajo C.R.S. seccion 6-1-1306(1):
- Derecho de acceso. Un consumidor puede confirmar si un controlador esta procesando sus datos personales y solicitar una copia de esos datos en un formato facilmente utilizable.
- Derecho de correccion. Un consumidor puede exigir que un controlador corrija datos personales inexactos, teniendo en cuenta la naturaleza y los propositos del procesamiento.
- Derecho de eliminacion. Un consumidor puede solicitar la eliminacion de los datos personales que el controlador tiene sobre el, ya sea que el consumidor los haya proporcionado o que el controlador los haya recopilado de otras fuentes.
- Derecho de portabilidad. Un consumidor puede obtener sus datos personales en un formato portatil y facilmente utilizable que permita la transferencia a otro controlador, siempre que la solicitud sea tecnicamente viable.
- Derecho de exclusion voluntaria. Un consumidor puede excluirse del procesamiento para tres propositos especificos: publicidad dirigida, la venta de datos personales, y el perfilamiento en apoyo de decisiones que producen efectos legales o similarmente significativos sobre el consumidor.
Los controladores deben responder a las solicitudes de derechos autenticadas dentro de 45 dias de recibidas. Bajo C.R.S. seccion 6-1-1306(3), el periodo de respuesta puede extenderse una vez por 45 dias adicionales cuando sea razonablemente necesario, pero solo si el controlador notifica al consumidor dentro de la ventana inicial de 45 dias y explica las razones del retraso. El plazo maximo de respuesta es, por lo tanto, de 90 dias con la notificacion adecuada.
Los controladores que nieguen una solicitud de derechos deben informar al consumidor sobre la negativa y explicar como el consumidor puede apelar. Las reglas de la CPA exigen que los controladores mantengan un proceso interno de apelacion. Si la apelacion tambien es denegada, el controlador debe proporcionar informacion sobre como el consumidor puede comunicarse con la Fiscalia General.
Para un recorrido detallado de como presentar solicitudes y que se requiere de las empresas para cada una, consulte el articulo sobre los derechos del consumidor de Colorado bajo la CPA.

Datos sensibles y el requisito de consentimiento de inclusion voluntaria
Una de las caracteristicas definitorias de la CPA es su requisito de que los controladores obtengan consentimiento afirmativo de inclusion voluntaria antes de procesar cualquier dato personal sensible. Esto no es una configuracion activada por defecto con una forma de excluirse despues: el consentimiento debe obtenerse antes de que comience el procesamiento. Los controladores que procesan datos sensibles sin consentimiento previo estan infringiendo C.R.S. seccion 6-1-1308(7).
La definicion actual de datos sensibles de la CPA en C.R.S. seccion 6-1-1303 cubre:
- Datos personales que revelan origen racial o etnico
- Datos personales que revelan creencias religiosas
- Condicion o diagnostico de salud mental o fisica
- Vida sexual u orientacion sexual
- Estatus de ciudadania o inmigracion
- Datos biometricos procesados para identificar de manera unica a un individuo
- Datos personales recopilados de un menor conocido
A partir del 12 de agosto de 2026, cuando entre en vigor la SB 25-276, los datos de geolocalizacion precisa tambien seran clasificados como datos sensibles bajo la CPA. La SB 25-276, firmada por el gobernador Polis el 23 de mayo de 2025, modifica la definicion de datos sensibles en C.R.S. seccion 6-1-1303 para agregar datos de ubicacion precisa, lo que significa que cualquier controlador que procese datos de geolocalizacion precisa necesitara consentimiento de inclusion voluntaria de los consumidores de Colorado antes de que llegue esa fecha. Las empresas que dependen de servicios basados en ubicacion o rastrean ubicaciones de dispositivos deben tratar el 12 de agosto de 2026 como un plazo de cumplimiento inamovible.
El estandar de inclusion voluntaria para datos sensibles alinea a Colorado mas estrechamente con el requisito de consentimiento explicito del Articulo 9 del GDPR para datos de categoria especial que con el enfoque de California. La CCPA/CPRA usa un modelo de exclusion voluntaria para informacion personal sensible: las empresas pueden procesarla a menos que el consumidor solicite una limitacion. Colorado invierte ese valor por defecto: no hay procesamiento hasta que el consumidor diga que si.
Las reglas de la Fiscalia General de Colorado (4 CCR 904-3) y el Mecanismo Universal de Exclusion Voluntaria
Colorado se destaca de la mayoria de las leyes estatales de privacidad de EE. UU. por la especificidad de sus regulaciones de implementacion. La Fiscalia General presento las Reglas finales de la Ley de Privacidad de Colorado (4 CCR 904-3) el 15 de marzo de 2023, y entraron en vigor el 1 de julio de 2023, junto con el estatuto. Mientras que muchos estados han promulgado leyes de privacidad de datos sin reglas detalladas de agencia, las reglas de Colorado cubren los estandares de consentimiento (4 CCR 904-3-7.02), los requisitos de contenido de las evaluaciones de proteccion de datos (4 CCR 904-3-8.02 a 8.05), las obligaciones del controlador para la transparencia del procesamiento, y todo el marco del Mecanismo Universal de Exclusion Voluntaria (4 CCR 904-3-5.03).
El marco UOOM es el requisito operativo mas distintivo de Colorado. C.R.S. seccion 6-1-1313(2) ordena a la Fiscalia General mantener una lista publica de Mecanismos Universales de Exclusion Voluntaria reconocidos, que son senales de navegador o dispositivo tecnicamente especificadas que los controladores cubiertos deben respetar como la exclusion voluntaria de un consumidor de la publicidad dirigida y la venta de datos. La Fiscalia General debia publicar la lista inicial de UOOM antes del 1 de enero de 2024, y actualizarla periodicamente.
El Global Privacy Control (GPC) es el primer y actualmente el unico mecanismo que la Fiscalia General de Colorado ha reconocido como un UOOM valido. La Fiscalia General publico el reconocimiento de GPC en su pagina de Mecanismos Universales de Exclusion Voluntaria. A partir del 1 de julio de 2024, los controladores cubiertos han estado obligados a respetar las senales de GPC de los consumidores de Colorado como exclusiones voluntarias validas de la publicidad dirigida y la venta de datos personales. Esto no es aspiracional: es una obligacion de cumplimiento actual. Un consumidor de Colorado que tiene GPC activado en su navegador no necesita navegar por la configuracion de privacidad de un sitio web ni presentar una solicitud de exclusion voluntaria separada. La senal es legalmente suficiente por si sola.
La implicacion practica es significativa. Las empresas que ejecutan programas de publicidad conductual o venden datos a corredores de datos externos deben detectar y respetar las senales de GPC a nivel del navegador, no solo a traves de un formulario de exclusion voluntaria dedicado en una pagina de preferencias de privacidad. Las reglas 4 CCR 904-3 especifican como debe implementarse tecnicamente un UOOM, que divulgaciones deben proporcionar los controladores cuando reconocen un UOOM, y que registros deben mantenerse.
Evaluaciones de proteccion de datos: cuando y por que los controladores deben realizarlas
La CPA exige que los controladores cubiertos completen una evaluacion de proteccion de datos antes de comenzar cualquier actividad de procesamiento que presente un riesgo elevado de dano a un consumidor. C.R.S. seccion 6-1-1309 identifica cuatro categorias de procesamiento que requieren una evaluacion:
- Procesamiento de datos personales para publicidad dirigida
- Venta de datos personales
- Procesamiento de datos personales para perfilamiento que presenta un riesgo razonablemente previsible de trato injusto o enganoso, impacto dispar ilegal, lesion financiera, fisica o de reputacion, intrusion en la soledad, u otro dano sustancial a los consumidores
- Procesamiento de datos sensibles
Los controladores deben documentar cada evaluacion. Las reglas 4 CCR 904-3 (especificamente las Reglas 8.02 a 8.05) especifican trece componentes minimos que las evaluaciones deben incluir: las categorias de datos personales procesados, el proposito del procesamiento, el interes legitimo del controlador en el procesamiento, las categorias de terceros que pueden recibir los datos, los beneficios esperados para el controlador y los consumidores, los riesgos para los derechos e intereses del consumidor, y las salvaguardas que el controlador implementara para mitigar esos riesgos, entre otros. Los requisitos de Colorado son mas detallados que la mayoria de las leyes estatales comparables.
La Fiscalia General puede solicitar revisar las evaluaciones de proteccion de datos durante una investigacion. Una evaluacion exhaustiva y bien mantenida no es solo un requisito de cumplimiento: es una linea de defensa primaria si la Fiscalia General comienza a examinar las practicas de un controlador. Un controlador que no puede producir una evaluacion creible para una actividad de procesamiento cubierta no tiene una respuesta efectiva ante una investigacion de cumplimiento.

Cumplimiento de la CPA: Fiscalia General y fiscales de distrito, hasta $20,000 por infraccion, fin del periodo de subsanacion
La CPA es aplicada exclusivamente por la Fiscalia General de Colorado y los fiscales de distrito. No existe un derecho de accion privado para los consumidores: un residente individual de Colorado no puede demandar directamente a una empresa cubierta por infracciones de la CPA, sin importar cuan clara sea la violacion de sus derechos. Toda la autoridad de cumplimiento pasa por la oficina de la Fiscalia General y los fiscales de distrito del estado.
Las infracciones de la CPA se clasifican como practicas comerciales enganosas bajo la Ley de Proteccion al Consumidor de Colorado (C.R.S. seccion 6-1-105). Esa clasificacion conlleva sanciones civiles de hasta $20,000 por infraccion bajo C.R.S. seccion 6-1-112. Ese limite por infraccion es notablemente mas alto que el de la VCDPA de Virginia ($7,500 por infraccion) o el de la TDPSA de Texas ($7,500 por infraccion, hasta $25,000 por una serie relacionada). Una empresa que niega indebidamente miles de solicitudes de derechos del consumidor o no respeta las senales de GPC a gran escala enfrenta una exposicion sustancial bajo la ley de Colorado.
La CPA originalmente proporciono una valvula de seguridad: desde la fecha de vigencia de la ley del 1 de julio de 2023 hasta el 1 de enero de 2025, la Fiscalia General y los fiscales de distrito debian proporcionar a las empresas cubiertas un aviso escrito de subsanacion de 60 dias antes de iniciar una accion de cumplimiento, siempre que la infraccion pudiera remediarse. Ese periodo obligatorio de subsanacion expiro el 1 de enero de 2025, bajo C.R.S. seccion 6-1-1311. A partir de esa fecha, la Fiscalia General puede iniciar una accion de cumplimiento de inmediato al identificar una infraccion, sin darle primero a la empresa la oportunidad de corregir el problema. Las empresas que contaban con recibir un aviso de subsanacion antes de enfrentar consecuencias ya no tienen ese colchon.
La Fiscalia General tambien puede buscar medidas cautelares y, como parte de cualquier accion de cumplimiento, puede recuperar los costos razonables de investigacion. La Fiscalia General mantiene un centro publico de recursos sobre la CPA en coag.gov/resources/colorado-privacy-act/, que incluye orientacion sobre cumplimiento y actualizaciones normativas.
Para la lista completa de verificacion de cumplimiento del controlador que cubre avisos de privacidad, acuerdos de procesamiento de datos, flujos de trabajo de respuesta al consumidor y pasos de implementacion de UOOM, consulte la lista de verificacion de cumplimiento de la CPA.
Reformas recientes de la CPA: biometria, menores y geolocalizacion (2024 a 2026)
La CPA ha sido reformada tres veces desde su lanzamiento en 2023, cada vez agregando nuevas obligaciones en areas de mayor preocupacion publica.
HB 24-1130 (vigente desde el 1 de julio de 2025): protecciones de identificadores biometricos. El gobernador Polis firmo este proyecto de ley el 31 de mayo de 2024. La reforma agrega obligaciones especificas para los controladores que procesan identificadores biometricos (huellas dactilares, geometria facial, escaneos de iris y datos similares) mas alla del requisito general de consentimiento de datos sensibles ya presente en la CPA. Bajo la HB 24-1130, los controladores cubiertos deben: adoptar y poner a disposicion del publico un cronograma escrito de retencion y destruccion de identificadores biometricos; obtener una divulgacion al consumidor y consentimiento por escrito antes de recopilar, comprar u obtener de otro modo datos biometricos; desarrollar protocolos de respuesta para violaciones de seguridad que involucren datos biometricos; y abstenerse de exigir el consentimiento del empleado para recopilar identificadores biometricos como condicion de empleo. Esta reforma es ley vigente.
SB 24-041 (vigente desde el 1 de octubre de 2025): protecciones de datos en linea de menores. Tambien firmada el 31 de mayo de 2024, la SB 24-041 agrego C.R.S. seccion 6-1-1309.5, imponiendo obligaciones elevadas cuando un controlador sabe o ignora deliberadamente que un usuario es menor de edad. Cuando se cumple ese umbral de conocimiento, el controlador debe: ejercer un cuidado razonable para evitar un dano elevado al menor; realizar evaluaciones de proteccion de datos de cualquier procesamiento que pueda afectar a menores; y obtener consentimiento antes de realizar publicidad dirigida a menores, vender los datos personales de menores, perfilar a menores, o usar caracteristicas de diseno destinadas a extender significativamente el uso del servicio por parte de menores. Es importante destacar que los controladores no estan obligados a implementar sistemas de verificacion de edad bajo la SB 24-041. Esta reforma es ley vigente desde el 1 de octubre de 2025.
SB 25-276 (vigente desde el 12 de agosto de 2026): geolocalizacion precisa como dato sensible. El gobernador Polis firmo la SB 25-276 el 23 de mayo de 2025. Cuando esta reforma entre en vigor el 12 de agosto de 2026, los datos de geolocalizacion precisa se agregaran a la definicion de datos sensibles de la CPA en C.R.S. seccion 6-1-1303. Los controladores que procesen datos de ubicacion precisa de consumidores de Colorado necesitaran obtener consentimiento de inclusion voluntaria antes de hacerlo. La SB 25-276 tambien restringe de manera mas amplia la venta de datos sensibles sin el consentimiento del consumidor. A la fecha de este articulo, la SB 25-276 aun no esta vigente. Las empresas que usan datos de geolocalizacion precisa (incluyendo aplicaciones de mapas, plataformas de entrega, sistemas de gestion de flotas o cualquier servicio que rastree la ubicacion de un dispositivo) deben comenzar a prepararse para este requisito ahora. El 12 de agosto de 2026 es el plazo de cumplimiento.
Ley de Privacidad de Colorado vs. CCPA: tres diferencias clave
La CPA y la CCPA de California son las dos leyes estatales de privacidad de EE. UU. mas discutidas, y comparten un marco comun, pero difieren en tres formas que importan en la practica. Nuestra pagina de comparacion de leyes estatales de privacidad de datos cubre el panorama completo de multiples estados, pero aqui estan las distinciones mas marcadas:
Estandar de consentimiento para datos sensibles. La CPA exige consentimiento afirmativo de inclusion voluntaria antes de que un controlador pueda procesar datos personales sensibles (C.R.S. seccion 6-1-1308(7)). La CCPA/CPRA usa un modelo de exclusion voluntaria: las empresas pueden procesar informacion personal sensible bajo la ley de California a menos y hasta que el consumidor presente una solicitud de "Limitar el Uso de Mi Informacion Personal Sensible" bajo Cal. Civ. Code seccion 1798.121. En terminos practicos, inclusion voluntaria significa que no hay procesamiento sin un si previo; exclusion voluntaria significa que el procesamiento continua a menos que el consumidor se oponga.
Mecanismo Universal de Exclusion Voluntaria. Colorado exige que los controladores cubiertos respeten las senales de navegador GPC como una exclusion voluntaria valida del consumidor de la publicidad dirigida y las ventas de datos, con cumplimiento requerido desde el 1 de julio de 2024. California tiene un requisito similar bajo las regulaciones de la CPRA para "senales de preferencia de exclusion voluntaria", pero el requisito de Colorado esta codificado tanto en el estatuto como en reglas detalladas de la Fiscalia General, con un registro publico de mecanismos reconocidos que proporciona mas especificidad operativa.
Umbral de aplicabilidad. El segundo criterio de cobertura de la CPA solo requiere que una empresa obtenga cualquier ingreso por la venta de datos personales mientras procesa datos de 25,000 o mas consumidores de Colorado. La CCPA aplica a empresas que cumplen al menos uno de tres umbrales separados, uno de los cuales es ingresos brutos anuales que superan los $25 millones. Una pequena empresa sin ingresos significativos pero con un gran volumen de procesamiento de datos puede estar cubierta en Colorado pero no en California.
Mas Leyes de Colorado
- Leyes de grabacion de reuniones con IA en Colorado
- Leyes de pension alimenticia en Colorado
- Leyes de empleo a voluntad en Colorado
- Leyes de accidentes automovilisticos en Colorado
- Leyes de asientos de seguridad para ninos en Colorado
- Leyes de custodia de menores en Colorado
- Leyes de manutencion infantil en Colorado
- Leyes de matrimonio de hecho en Colorado
- Leyes sobre deepfakes en Colorado
- Leyes de divorcio en Colorado
- Leyes sobre mordeduras de perro en Colorado
- Leyes de emancipacion en Colorado
- Leyes de eliminacion de antecedentes penales en Colorado
- Leyes sobre atropello y fuga en Colorado
- Leyes de propietarios e inquilinos en Colorado
- Leyes del limon en Colorado
Guias relacionadas
- Derechos del Consumidor de la Ley de Privacidad de Colorado y Como Usarlos
- Lista de Verificacion de Cumplimiento de la Ley de Privacidad de Colorado (2026)
- Leyes de Privacidad de Datos de Colorado: Guia de Derechos del Consumidor de la CPA (2026)
- Leyes de Privacidad Biometrica de Colorado: Recopilacion, Consentimiento y Sanciones (2026)
- Tabla Comparativa de Leyes Estatales de Privacidad de EE. UU. (2026)
Preguntas frecuentes
Que es la Ley de Privacidad de Colorado?
La Ley de Privacidad de Colorado (CPA) es la ley integral de privacidad de datos del consumidor de Colorado, codificada en C.R.S. secciones 6-1-1301 a 6-1-1313. El gobernador Jared Polis firmo el Proyecto de Ley del Senado 21-190 el 7 de julio de 2021, y la ley entro en vigor el 1 de julio de 2023. Otorga a los residentes de Colorado derechos sobre sus datos personales y exige que las empresas cubiertas sean transparentes sobre la recopilacion, el uso y el procesamiento. Colorado fue el tercer estado, despues de California y Virginia, en promulgar una ley de este alcance.
A quien aplica la Ley de Privacidad de Colorado?
La CPA aplica a cualquier persona que haga negocios en Colorado o dirija sus servicios a residentes de Colorado y cumpla con cualquiera de dos umbrales: (1) procesa datos personales de 100,000 o mas consumidores de Colorado por ano calendario, o (2) procesa datos de 25,000 o mas consumidores mientras obtiene cualquier ingreso por la venta de datos personales. A diferencia de la VCDPA de Virginia, no hay una prueba del 50% de ingresos. La CPA tambien cubre a las organizaciones sin fines de lucro, a las que Virginia y Texas eximen. Los organismos gubernamentales, las entidades reguladas por HIPAA, las instituciones financieras reguladas por GLBA, y los datos cubiertos por FCRA, FERPA, COPPA y DPPA estan exentos.
Que derechos tienen los consumidores de Colorado bajo la CPA?
Los residentes de Colorado tienen cinco derechos bajo C.R.S. seccion 6-1-1306(1): el derecho de acceso y de confirmar si sus datos estan siendo procesados, el derecho a corregir datos inexactos, el derecho a eliminar sus datos personales, el derecho a recibir una copia portatil de sus datos, y el derecho a excluirse de la publicidad dirigida, las ventas de datos personales y el perfilamiento que produce un efecto legal o similarmente significativo. Los controladores deben responder dentro de 45 dias, con posibilidad de una extension de 45 dias adicionales con la notificacion adecuada.
Cual es la sancion por infringir la Ley de Privacidad de Colorado?
Las infracciones de la CPA se clasifican como practicas comerciales enganosas bajo la Ley de Proteccion al Consumidor de Colorado, con sanciones civiles de hasta $20,000 por infraccion bajo C.R.S. seccion 6-1-112. Esto es mas alto que los $7,500 por infraccion de Virginia. La Fiscalia General de Colorado y los fiscales de distrito tambien pueden buscar medidas cautelares. El periodo obligatorio de subsanacion de 60 dias que anteriormente protegia a las empresas expiro el 1 de enero de 2025, por lo que las acciones de cumplimiento ahora pueden iniciarse sin una oportunidad previa de subsanacion.
Tiene la Ley de Privacidad de Colorado un derecho de accion privado?
No. Solo la Fiscalia General de Colorado y los fiscales de distrito pueden hacer cumplir la CPA bajo C.R.S. seccion 6-1-1311. Los consumidores individuales no pueden demandar directamente a las empresas cubiertas por infracciones de la CPA. Este es un contraste clave con la CCPA de California, que proporciona un derecho de accion privado limitado para violaciones de datos causadas por seguridad inadecuada.
Que es el Mecanismo Universal de Exclusion Voluntaria bajo la Ley de Privacidad de Colorado?
Un Mecanismo Universal de Exclusion Voluntaria (UOOM) es una senal de navegador o dispositivo que le indica a las empresas cubiertas que un consumidor desea excluirse de la publicidad dirigida y las ventas de datos personales. La Fiscalia General de Colorado debe mantener una lista publica de UOOM reconocidos bajo C.R.S. seccion 6-1-1313(2). El Global Privacy Control (GPC) es actualmente el unico UOOM reconocido. Los controladores han estado obligados a respetar las senales de GPC de los consumidores de Colorado desde el 1 de julio de 2024. Un consumidor no necesita presentar un formulario de exclusion voluntaria separado si su navegador tiene GPC activado.
Que se considera dato sensible bajo la Ley de Privacidad de Colorado?
Las categorias actuales de datos sensibles bajo C.R.S. seccion 6-1-1303 incluyen: datos personales que revelan origen racial o etnico, creencias religiosas, condicion o diagnostico de salud mental o fisica, vida sexual u orientacion sexual, estatus de ciudadania o inmigracion, datos biometricos procesados para identificar de manera unica a una persona, y datos personales recopilados de un menor conocido. Los controladores deben obtener consentimiento de inclusion voluntaria antes de procesar cualquiera de estas categorias. A partir del 12 de agosto de 2026, cuando entre en vigor la SB 25-276, los datos de geolocalizacion precisa tambien se volveran sensibles.
Ha sido reformada la Ley de Privacidad de Colorado desde que se promulgo?
Si, tres veces. La HB 24-1130 (vigente desde el 1 de julio de 2025) agrego protecciones de identificadores biometricos, incluyendo un requisito de cronograma publico de retencion y destruccion y una prohibicion de condicionar el empleo al consentimiento biometrico. La SB 24-041 (vigente desde el 1 de octubre de 2025) agrego protecciones elevadas para menores, exigiendo consentimiento antes de dirigirse a o perfilar a menores conocidos. La SB 25-276 (firmada el 23 de mayo de 2025, vigente desde el 12 de agosto de 2026) agregara los datos de geolocalizacion precisa a la definicion de datos sensibles, exigiendo consentimiento de inclusion voluntaria antes de procesarlos.
Fuentes y referencias
- C.R.S. § 6-1-1301 et seq.: Colorado Privacy Act (SB21-190, full text)(leg.colorado.gov)
- 4 CCR 904-3: Colorado Privacy Act Rules (AG press release, filed March 15, 2023)(coag.gov)
- 4 CCR 904-3-2.02: Defined Terms (Law.Cornell.edu)(law.cornell.edu)
- 4 CCR 904-3-5.03: Notice and Choice for Universal Opt-Out Mechanisms (Law.Cornell.edu)(law.cornell.edu)
- 4 CCR 904-3-7.02: Required Consent (Law.Cornell.edu)(law.cornell.edu)
- 4 CCR 904-3-8.02: Data Protection Assessment Scope (Law.Cornell.edu)(law.cornell.edu)
- Colorado AG: Universal Opt-Out Mechanism (UOOM) Registry(coag.gov)
- Colorado AG: Global Privacy Control Recognition(coag.gov)
- Colorado AG: CPA Rulemaking (SB 24-041 and SB 25-276 rules)(coag.gov)
- HB 24-1130: Privacy of Biometric Identifiers and Data (signed May 31, 2024, eff. July 1, 2025)(leg.colorado.gov)
- SB 24-041: Privacy Protections for Children's Online Data (signed May 31, 2024, eff. Oct. 1, 2025)(leg.colorado.gov)
- SB 25-276: CPA Precise Geolocation Amendment (signed May 23, 2025, eff. Aug. 12, 2026)(leg.colorado.gov)
- Colorado AG: Privacy Laws Resource Hub(coag.gov)