Connecticut
Leyes de Privacidad de Datos de Connecticut: Guia de Derechos del Consumidor de la CTDPA (2026)

Connecticut otorga a sus residentes seis derechos de privacidad exigibles bajo la Ley de Privacidad de Datos de Connecticut, codificada en Conn. Gen. Stat. 42-515 a 42-525 y vigente desde el 1 de julio de 2023. Esos derechos cubren acceso, correccion, eliminacion, portabilidad, exclusion voluntaria de ventas de datos y publicidad dirigida, y apelacion, con sanciones civiles de hasta $5,000 por infraccion aplicadas por la Fiscalia General.
Connecticut ha construido uno de los regimenes integrales de privacidad de datos mas activos de Estados Unidos. La Ley de Privacidad de Datos de Connecticut (CTDPA), firmada el 10 de mayo de 2022 como Ley Publica 22-15 y vigente desde el 1 de julio de 2023, convirtio a Connecticut en uno de los primeros cinco estados con una ley integral de privacidad del consumidor. La ley ha sido reformada desde entonces tres veces, la mas reciente por la Ley Publica 26-64 (Sustituto de la SB 4), firmada el 27 de mayo de 2026 y vigente desde el 1 de octubre de 2026.
Esta guia cubre el alcance de la CTDPA, los derechos del consumidor, las obligaciones empresariales y el historial de cumplimiento, el estatuto estatal de notificacion de violacion de datos, la Ley de Seguridad de Datos de Seguros, y la capa federal que aplica a los residentes de Connecticut independientemente del alcance de la CTDPA.
Que es la Ley de Privacidad de Datos de Connecticut (CTDPA)?
La Ley de Privacidad de Datos de Connecticut esta codificada en Conn. Gen. Stat. 42-515 a 42-525. Originalmente basada en la Ley de Privacidad de Colorado, la CTDPA establece derechos integrales de privacidad para los residentes de Connecticut e impone obligaciones especificas a las empresas que recopilan y procesan datos personales.
La ley protege a los residentes de Connecticut que actuan en un contexto individual o domestico, como navegar por internet o hacer una compra. No protege a las personas que actuan en un contexto laboral, como solicitar un empleo o realizar tareas de trabajo.

El enfoque de Connecticut hacia la privacidad de datos es notable por varias razones. A diferencia de la CCPA de California, la CTDPA no tiene un umbral de ingresos anuales. A diferencia de la UCPA de Utah, las empresas no necesitan superar un requisito de ingresos para estar dentro del alcance. Esto convierte a la CTDPA en una de las leyes estatales de privacidad mas favorables al consumidor del pais.
Quien Debe Cumplir con la CTDPA?
La CTDPA aplica a las empresas que hacen negocios en Connecticut o producen productos o servicios dirigidos a residentes de Connecticut y cumplen con uno de los siguientes umbrales:
- Umbral actual de volumen de consumidores (hasta el 30 de junio de 2026): Controlar o procesar datos personales de al menos 100,000 consumidores de Connecticut durante el ano calendario anterior
- Umbral reducido de volumen de consumidores (vigente desde el 1 de julio de 2026, segun la Ley Publica 25-113): Controlar o procesar datos personales de al menos 35,000 consumidores de Connecticut
- Umbral de venta de datos: Controlar o procesar datos personales de al menos 25,000 consumidores mientras se obtiene mas del 25% de los ingresos brutos de la venta de datos personales
- Procesamiento de datos sensibles (vigente desde el 1 de julio de 2026): Controlar o procesar datos sensibles de cualquier numero de consumidores, sin umbral de volumen
- Actividad de venta de datos (vigente desde el 1 de julio de 2026): Ofrecer datos personales de consumidores para la venta en el comercio, independientemente del volumen
- Datos de Salud del Consumidor: Todos los Controladores de Datos de Salud del Consumidor estan cubiertos independientemente de su tamano o escala
No hay un umbral de ingresos anuales, lo que distingue a la CTDPA de varias otras leyes estatales de privacidad, incluyendo la CCPA de California y la UCPA de Utah.
Entidades Exentas
Las siguientes entidades estan exentas de la CTDPA:
- Agencias gubernamentales estatales y locales
- Organizaciones sin fines de lucro (excepto para las disposiciones de Datos de Salud del Consumidor)
- Instituciones de educacion superior
- Asociaciones nacionales de valores registradas bajo la Ley de Bolsa de Valores de 1934
- Entidades sujetas a HIPAA
- Organizaciones politicas (agregadas por las reformas de 2025)
Las reformas de 2025 (Ley Publica 25-113) reemplazaron la exencion general a nivel de entidad de GLBA con exenciones especificas a nivel de datos y de entidad. Las instituciones financieras como aseguradoras, bancos y cooperativas de credito reciben exenciones especificas en lugar de una exencion general.
Tipos de Datos Exentos
Ciertos tipos de datos estan exentos de la CTDPA cuando se mantienen en cumplimiento con otras leyes federales:
- Datos regulados bajo la Ley Gramm-Leach-Bliley (exencion a nivel de datos)
- Informacion medica protegida bajo HIPAA
- Datos cubiertos por la Ley de Informe Justo de Credito
- Datos protegidos por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos procesados para propositos especificos de cumplimiento regulatorio
Derechos del Consumidor Bajo la CTDPA
La CTDPA otorga a los residentes de Connecticut seis derechos fundamentales de privacidad sobre sus datos personales.

Derecho de Acceso
Los consumidores pueden solicitar confirmacion de si un controlador esta procesando sus datos personales y obtener una copia de esos datos. Las reformas de 2025 ampliaron este derecho para incluir el derecho a conocer que inferencias se han derivado de sus datos personales. Los controladores deben responder dentro de 45 dias, con una posible extension de 45 dias.
Derecho de Correccion
Los consumidores pueden solicitar que un controlador corrija inexactitudes en sus datos personales, teniendo en cuenta la naturaleza de los datos y los propositos del procesamiento.
Derecho de Eliminacion
Los consumidores pueden solicitar la eliminacion de sus datos personales, incluyendo datos que el controlador recopilo a traves de fuentes de terceros. Este amplio derecho de eliminacion se extiende mas alla de los datos proporcionados directamente por el consumidor.
Derecho a la Portabilidad de Datos
Los consumidores pueden obtener una copia de sus datos personales en un formato portatil y facilmente utilizable que permita la transferencia a otro controlador sin obstaculos.
Derecho de Exclusion Voluntaria
Los consumidores pueden excluirse de tres tipos de procesamiento:
- La venta de sus datos personales
- La publicidad dirigida basada en sus datos
- El perfilamiento que produce efectos legales o similarmente significativos (las reformas de 2025 ampliaron esto de decisiones "unicamente automatizadas" a decisiones "cualquier automatizadas", incluyendo aquellas con cierta participacion humana)
Derecho de Apelacion
Si un controlador niega una solicitud de derechos del consumidor, el consumidor tiene derecho a apelar. El controlador debe responder dentro de 60 dias, explicando cualquier accion tomada y las razones de la decision. Si se niega la apelacion, el controlador debe proporcionar informacion sobre como presentar una queja ante la Fiscalia General de Connecticut.
Senales Universales de Preferencia de Exclusion Voluntaria
A partir del 1 de enero de 2025, todos los controladores sujetos a la CTDPA deben respetar las senales universales de preferencia de exclusion voluntaria, incluyendo Global Privacy Control, enviadas a traves de navegadores o extensiones que protegen la privacidad. La senal debe provenir de una plataforma o mecanismo que determine con precision si el consumidor es residente de Connecticut. Los controladores no pueden anular la senal de exclusion voluntaria, aunque pueden notificar a los consumidores sobre conflictos con elecciones de consentimiento previas.
En enero de 2025, el Fiscal General de Connecticut William Tong se unio a los fiscales generales de California y Colorado y a la Agencia de Proteccion de la Privacidad de California en una operacion conjunta de investigacion dirigida a empresas que no procesaban senales de GPC. La coalicion envio cartas a empresas que no estaban procesando las solicitudes de exclusion voluntaria enviadas via GPC y solicito cumplimiento inmediato. Mas de 40 millones de consumidores usaban GPC a partir de 2025.
Protecciones de Datos Sensibles
La CTDPA exige que los controladores obtengan consentimiento explicito y afirmativo antes de procesar datos sensibles. Bajo la ley, los datos sensibles incluyen:
- Datos que revelan origen racial o etnico
- Creencias religiosas
- Condiciones de salud mental o fisica, diagnosticos, discapacidad o tratamiento
- Orientacion sexual o actividad sexual
- Estatus de ciudadania o inmigracion
- Datos geneticos
- Datos biometricos usados para identificar a una persona especifica
- Datos personales de un menor conocido menor de 13 anos
- Datos de geolocalizacion precisa
- Datos de salud del consumidor
Las reformas de 2025 (Ley Publica 25-113) ampliaron la definicion de datos sensibles para incluir tambien:
- Estatus transgenero o no binario
- Datos neuronales (informacion generada al medir la actividad del sistema nervioso central de una persona)
- Numeros de cuentas financieras con credenciales de acceso
- Numeros de identificacion emitidos por el gobierno
Ademas, la ley reformada exige el consentimiento explicito y separado del consumidor antes de que un controlador pueda vender datos sensibles. La definicion de "informacion publicamente disponible" se actualizo para excluir los datos biometricos recopilados sin el consentimiento del consumidor.
Protecciones de Datos de Ninos y Menores
Connecticut ofrece algunas de las protecciones mas solidas para los datos de ninos y menores de cualquier ley estatal de privacidad.
Ninos Menores de 13 Anos
Los datos personales recopilados de un nino que el controlador sabe con certeza que es menor de 13 anos se clasifican como datos sensibles. El procesamiento requiere consentimiento parental conforme a los estandares de COPPA.
Menores de 13 a 17 Anos
Desde el 1 de octubre de 2024, los consumidores menores de 16 anos deben dar consentimiento de inclusion voluntaria antes de que sus datos puedan venderse o usarse para publicidad dirigida. Las reformas de 2025 (vigentes el 1 de julio de 2026) fueron mas alla:
- Se prohibe categoricamente a los controladores procesar los datos personales de menores para publicidad dirigida o venta, sin importar si se obtiene consentimiento
- Los controladores no pueden usar caracteristicas de diseno del sistema que aumenten, sostengan o extiendan significativamente el uso de un servicio en linea por parte de un menor (disposiciones de diseno antiadictivo)
- Se requieren evaluaciones de impacto al perfilar a menores
- Aplican restricciones a la recopilacion de datos de geolocalizacion de menores y capacidades de mensajeria directa
El reporte de cumplimiento de febrero de 2026 del Fiscal General Tong revelo multiples investigaciones activas sobre la seguridad de ninos y adolescentes en linea, abarcando plataformas de mensajeria, videojuegos y chatbots de IA.
Las reformas de 2026 de Connecticut, promulgadas como Ley Publica 26-64 (firmada el 27 de mayo de 2026, vigente desde el 1 de octubre de 2026), no agregaron nuevas disposiciones especificas para menores; las protecciones de menores anteriores provienen de la Ley Publica 25-113. La Ley Publica 26-64 se enfoca en cambio en corredores de datos, ventas de geolocalizacion precisa, tecnologia de reconocimiento facial y fijacion algoritmica de precios, temas que se abordan mas adelante.

Obligaciones Empresariales Bajo la CTDPA
Los controladores sujetos a la CTDPA deben cumplir con las siguientes obligaciones.
Requisitos del Aviso de Privacidad
Los controladores deben proporcionar un aviso de privacidad claro y accesible que describa:
- Categorias de datos personales procesados
- Propositos del procesamiento
- Como los consumidores pueden ejercer sus derechos
- Categorias de datos personales compartidos con terceros
- Categorias de terceros con quienes se comparten los datos
- Un enlace facilmente accesible para excluirse de la publicidad dirigida o las ventas de datos
Minimizacion de Datos
La recopilacion de datos personales debe limitarse a lo que sea "razonablemente necesario y proporcional" en relacion con los propositos divulgados. El procesamiento para propositos materialmente nuevos requiere consentimiento adicional a menos que sea compatible con los propositos originalmente divulgados.
Evaluaciones de Proteccion de Datos
Los controladores deben realizar y documentar evaluaciones de proteccion de datos para actividades de procesamiento de alto riesgo, incluyendo:
- Publicidad dirigida
- Venta de datos personales
- Procesamiento de datos sensibles
- Perfilamiento que presenta un riesgo de trato injusto, lesion financiera o intrusion en la soledad
Las reformas de 2025 crearon requisitos separados de "evaluacion de impacto" para el perfilamiento que produce efectos legales o similarmente significativos sobre los consumidores, distintos de las evaluaciones de proteccion de datos existentes.
Requisitos del Encargado
Los encargados deben ayudar a los controladores a cumplir con sus obligaciones. Los contratos entre controlador y encargado deben incluir disposiciones sobre instrucciones de procesamiento de datos, confidencialidad, eliminacion o devolucion de datos al finalizar el contrato, y cooperacion con las evaluaciones.
Salvaguardas de Seguridad
Los controladores deben implementar y mantener practicas de seguridad administrativas, tecnicas y fisicas razonables para proteger la confidencialidad, integridad y accesibilidad de los datos personales.
Divulgacion de Entrenamiento de Modelos de Lenguaje (LLM)
A partir del 1 de julio de 2026, los controladores deben divulgar si recopilan datos personales con el proposito de entrenar modelos de lenguaje de gran escala. Esta disposicion refleja la creciente preocupacion sobre los sistemas de IA entrenados con datos de consumidores sin consentimiento.
Ley de Notificacion de Violacion de Datos de Connecticut
Separada de la CTDPA, el estatuto de notificacion de violacion de datos de Connecticut (Conn. Gen. Stat. 36a-701b) impone requisitos especificos a las empresas que sufren una violacion de seguridad que involucra informacion personal.
Quien Debe Reportar
Cualquier persona que sea propietaria, tenga licencia sobre, o mantenga datos computarizados que incluyan informacion personal debe reportar una violacion. Esto incluye a empresas de todos los tamanos que operan en Connecticut.
Definicion de Informacion Personal
Bajo la ley de notificacion de violacion, "informacion personal" significa el nombre o la inicial del nombre y el apellido de una persona en combinacion con cualquiera de los siguientes:
- Numero de Seguro Social
- Numero de licencia de conducir o numero de tarjeta de identificacion estatal
- Numero de cuenta, numero de tarjeta de credito o de debito combinado con cualquier codigo de seguridad, codigo de acceso o contrasena requerido que permita el acceso a la cuenta
- Numero de identificacion del contribuyente
- Numero de pasaporte
- Informacion medica o informacion de seguro medico
- Informacion biometrica
Plazo de Notificacion
El aviso a los residentes afectados de Connecticut debe proporcionarse sin demora injustificada y a mas tardar 60 dias despues del descubrimiento de la violacion. El aviso a la Oficina de la Fiscalia General debe proporcionarse a mas tardar cuando se notifica a los residentes.
Requisito de Monitoreo de Credito
Si se compromete el numero de Seguro Social o el numero de identificacion del contribuyente de un residente, la empresa debe ofrecer 24 meses de servicios gratuitos de monitoreo de credito a las personas afectadas. Este es uno de los periodos de monitoreo de credito mas largos exigidos por cualquier estado.
Sanciones por Incumplimiento
El incumplimiento de los requisitos de notificacion de violacion constituye una infraccion de la Ley de Practicas Comerciales Justas de Connecticut (CUTPA), que puede resultar en sanciones civiles y acciones de cumplimiento por parte de la Fiscalia General.

Ley de Seguridad de Datos de Seguros de Connecticut
Ademas de la CTDPA y el estatuto de notificacion de violacion, la Ley de Seguridad de Datos de Seguros de Connecticut (Conn. Gen. Stat. 38a-38 y siguientes, vigente desde el 1 de octubre de 2020) impone obligaciones de ciberseguridad a las entidades licenciadas por el Departamento de Seguros de Connecticut. Esto incluye aseguradoras, agentes, corredores y otros licenciatarios de la industria de seguros.
Requisitos Centrales
Los licenciatarios deben desarrollar y mantener un programa escrito de seguridad de la informacion. El programa debe basarse en la evaluacion de riesgos del licenciatario, ser apropiado para el tamano y la complejidad de sus operaciones, y abordar salvaguardas administrativas, tecnicas y fisicas.
Requisitos de Eventos de Ciberseguridad
Los licenciatarios deben investigar cualquier evento de ciberseguridad sospechoso, evaluar su naturaleza y alcance, identificar cualquier informacion privada potencialmente comprometida y restaurar la seguridad del sistema. Los registros relacionados con eventos de ciberseguridad deben conservarse durante al menos cinco anos.
Notificacion al Comisionado
Los licenciatarios deben notificar al Comisionado de Seguros lo antes posible, pero dentro de tres dias habiles, despues de determinar que ocurrio un evento de ciberseguridad. La notificacion debe incluir la fecha del evento, como lo descubrio el licenciatario, una descripcion general de la informacion involucrada y cualquier medida de remediacion tomada. La notificacion al consumidor sigue la ley estatal existente de notificacion de violacion (Conn. Gen. Stat. 36a-701b).
Exenciones
Los licenciatarios pequenos con menos de 25 empleados, menos de $5 millones en ingresos brutos anuales de todas las operaciones de seguros, o menos de $10 millones en activos totales de fin de ano pueden calificar para una exencion parcial del requisito completo de programa escrito de seguridad de la informacion, sujeto a certificacion ante el Departamento de Seguros.
Sanciones y Cumplimiento de la CTDPA
La Fiscalia General de Connecticut tiene autoridad exclusiva de cumplimiento sobre la CTDPA. No existe un derecho de accion privado, lo que significa que los consumidores no pueden demandar directamente a las empresas por infracciones.
Sanciones Civiles
| Tipo de Infraccion | Sancion Maxima |
|---|---|
| Infraccion de la CTDPA (por infraccion) | $5,000 |
| Falla de notificacion de violacion de datos (CUTPA) | $5,000 por infraccion |
| Patron de infracciones | Medidas cautelares, restitucion, desembolso de ganancias |
Las infracciones se aplican bajo la Ley de Practicas Comerciales Justas de Connecticut. Ademas de las sanciones monetarias, la Fiscalia General puede buscar medidas cautelares para detener infracciones en curso, restitucion para los consumidores afectados, y el desembolso de las ganancias obtenidas.
Cambios en el Periodo de Subsanacion
Cuando la CTDPA entro en vigor por primera vez, los controladores recibian un derecho de 60 dias para subsanar infracciones despues de recibir un aviso de la Fiscalia General. Este periodo obligatorio de subsanacion expiro el 31 de diciembre de 2024. Desde el 1 de enero de 2025, la Fiscalia General puede proceder directamente al cumplimiento sin ofrecer un periodo de subsanacion, aunque conserva la discrecion de ofrecer uno.
Al decidir si ofrecer una oportunidad de subsanacion, la Fiscalia General puede considerar:
- El numero de infracciones
- El tamano y la complejidad del controlador o encargado
- La naturaleza y el alcance de las actividades de procesamiento
- La probabilidad sustancial de dano al publico
- La seguridad de personas o propiedades
- Si la infraccion fue causada por error humano o tecnico
Primera Accion de Cumplimiento: Acuerdo con TicketNetwork
En julio de 2025, el Fiscal General Tong anuncio el primer acuerdo monetario bajo la CTDPA. TicketNetwork LLC acordo pagar $85,000 para resolver alegaciones de que:
- Su aviso de privacidad era en gran parte ilegible y le faltaba informacion clave sobre los derechos del consumidor
- Los mecanismos de solicitud de derechos del consumidor estaban mal configurados o no funcionaban
- La empresa repetidamente afirmo haber corregido las deficiencias cuando no lo habia hecho
- La empresa no respondio a tiempo a la correspondencia de seguimiento de la Fiscalia General
La Fiscalia General habia enviado por primera vez un aviso de subsanacion a TicketNetwork el 9 de noviembre de 2023, cuatro meses despues de que la CTDPA entrara en vigor. TicketNetwork fue la unica empresa que no cumplio con un aviso inicial de subsanacion durante el periodo de subsanacion.
Operacion Conjunta de Cumplimiento de GPC (2025)
En enero de 2025, los fiscales generales de Connecticut, California y Colorado, junto con la Agencia de Proteccion de la Privacidad de California, anunciaron una operacion coordinada de investigacion dirigida a empresas que no procesaban las solicitudes de exclusion voluntaria enviadas via Global Privacy Control. La coalicion envio cartas de advertencia a empresas identificadas como que no respetaban las senales de GPC segun lo exigido por la ley.
Reporte Anual de Cumplimiento 2026
El Fiscal General Tong publico el tercer reporte anual de cumplimiento de la CTDPA el 5 de febrero de 2026. Los hallazgos clave incluyen:
- Docenas de avisos de infraccion y cartas de advertencia emitidas durante 2025
- Multiples acuerdos por violaciones de datos finalizados
- Multiples investigaciones activas sobre la seguridad de ninos y adolescentes en linea, incluyendo plataformas de mensajeria, videojuegos y chatbots de IA
- Prioridades de investigacion: vehiculos conectados y rastreo de geolocalizacion, redes sociales dirigidas a jovenes, corredores de datos, y productos de IA que representan riesgos para menores
El reporte recomendo accion legislativa para reducir las definiciones de "informacion publicamente disponible", establecer protecciones independientes de privacidad genetica, promulgar salvaguardas para chatbots, y mejorar las disposiciones de exclusion voluntaria del consumidor.
Reformas de 2025: Ley Publica 25-113 (SB 1295)
Connecticut promulgo las reformas de 2025 el 24 de junio de 2025, como Ley Publica 25-113. La mayoria de las disposiciones entran en vigor el 1 de julio de 2026, con los requisitos de evaluacion de impacto aplicandose a actividades de procesamiento creadas a partir del 1 de agosto de 2026. Los cambios clave incluyen:
Umbral de Aplicabilidad Reducido
El umbral de procesamiento de consumidores baja de 100,000 a 35,000 consumidores de Connecticut, ampliando significativamente el numero de empresas sujetas a la ley.
Categorias Ampliadas de Datos Sensibles
Nuevas categorias: estatus de discapacidad o tratamiento, estatus transgenero o no binario, datos neuronales, numeros de cuentas financieras con credenciales de acceso, y numeros de identificacion emitidos por el gobierno.
Protecciones Mas Fuertes para Menores
Prohibicion categorica de procesar los datos de menores para publicidad dirigida o venta, sin importar el consentimiento. Requisitos de diseno antiadictivo para servicios en linea usados por menores.
Reestructuracion de la Exencion de GLBA
La exencion a nivel de entidad de GLBA se reemplaza con exenciones especificas a nivel de datos y de entidad.
Derechos Ampliados del Consumidor
El derecho de acceso ahora incluye las inferencias derivadas. Derecho a recibir listas de terceros que compraron datos del consumidor. La exclusion voluntaria del perfilamiento se amplia para cubrir cualquier toma de decisiones automatizada, no solo decisiones totalmente automatizadas.
Transparencia de IA y LLM
Los controladores deben divulgar si los datos personales se recopilan para entrenar modelos de lenguaje de gran escala.
Requisitos de Evaluacion de Impacto
Se requieren nuevas evaluaciones de impacto para el perfilamiento que produce efectos legales o similarmente significativos, separadas de las evaluaciones de proteccion de datos existentes.
Reformas de 2026: Ley Publica 26-64 (SB 4)

Connecticut promulgo su tercera ronda de cambios a la CTDPA cuando el gobernador Lamont firmo el Sustituto del Proyecto de Ley del Senado 4 como Ley Publica 26-64 el 27 de mayo de 2026. Cada seccion de la ley entra en vigor el 1 de octubre de 2026. La Ley Publica 26-64 no cambia los umbrales de aplicabilidad de la CTDPA (Conn. Gen. Stat. 42-516 no se modifica); agrega nuevas protecciones sustantivas mas un programa separado de corredores de datos. Las disposiciones clave incluyen:
Registro de Corredores de Datos
Las empresas que venden o licencian datos personales de corredores sobre consumidores con quienes no tienen una relacion directa deben registrarse ante el Departamento de Proteccion al Consumidor para hacerlo en Connecticut a partir del 1 de enero de 2027, pagando una tarifa inicial de $2,500 y una renovacion anual de $2,500. El registro es de acceso publico.
Mecanismo de Eliminacion Unico
La ley ordena al Departamento de Proteccion al Consumidor establecer, antes del 1 de julio de 2028, un mecanismo accesible que permita a un consumidor presentar una unica solicitud verificada para eliminar sus datos personales en poder de todos los corredores de datos registrados a la vez, en lugar de contactar a cada corredor por separado.
Restricciones a la Venta de Geolocalizacion
La ley prohibe a cualquier controlador o tercero vender los datos de geolocalizacion precisa de un consumidor, definidos como datos que ubican a una persona dentro de un radio de 1,750 pies (Conn. Gen. Stat. 42-520(a)(3) y 42-521(a)(2)). La prohibicion aplica a la venta directa de esos datos y no alcanza el contenido de las comunicaciones ni los datos generados por infraestructura avanzada de medicion de servicios publicos.
Tecnologia de Reconocimiento Facial
La ley define la tecnologia de reconocimiento facial (Conn. Gen. Stat. 42-515(17)) como tecnologia que analiza rasgos faciales en imagenes fijas o video para identificar de manera unica a una persona especifica. Un controlador que use reconocimiento facial en sus instalaciones para prevencion de fraude, seguridad o prevencion de perdidas debe usarlo solo para comparar contra una base de datos que mantenga exclusivamente, y debe colocar senalizacion claramente legible en cada entrada que alerte a los consumidores y enlace a una politica de reconocimiento facial que contenga la informacion de contacto de la Fiscalia General.
Divulgacion de Precios Algoritmicos
La ley exige a las empresas divulgar cuando usan fijacion de precios algoritmica personalizada basada en los datos personales de un consumidor y restringe ciertos precios de vigilancia, con excepciones como los programas de lealtad y recompensas. Estas disposiciones son aplicadas por la Fiscalia General como infraccion de la Ley de Practicas Comerciales Justas de Connecticut, sin derecho de accion privado.
Definicion Ampliada de Informacion Publicamente Disponible
La ley reduce lo que cuenta como informacion publicamente disponible (Conn. Gen. Stat. 42-515(35)), excluyendo los datos biometricos recopilados sin el conocimiento del consumidor, los datos geneticos que el consumidor no ha hecho publicos, las imagenes intimas no consensuadas o sinteticas, y los datos personales creados al combinar otros datos con informacion publicamente disponible. Los datos fuera de esa categoria reciben la proteccion completa de la CTDPA.
Derecho de Eliminacion Ampliado
Los consumidores obtienen el derecho a eliminar la informacion publicamente disponible que ha sido recopilada en un perfil de consumidor puesto a disposicion de otros, junto con cualquier inferencia generada a partir de ella (Conn. Gen. Stat. 42-518(a)(3)).
Pruebas Geneticas Directas al Consumidor
Por separado de la CTDPA, la ley otorga a los consumidores un derecho de propiedad y control exclusivo sobre las muestras biologicas y los resultados de pruebas de ADN en poder de empresas de pruebas geneticas directas al consumidor, y prohibe la divulgacion de resultados excepto con el consentimiento expreso del consumidor o bajo orden judicial, orden de cateo o citacion.
Capa Federal: Leyes Que Aplican en Connecticut Independientemente de la CTDPA
Varias leyes federales protegen los datos de los residentes de Connecticut independientemente de la CTDPA.
Ley TAKE IT DOWN (Pub. L. 119-12, 19 de mayo de 2025)
La Ley TAKE IT DOWN, firmada por el presidente Trump el 19 de mayo de 2025, convierte en delito federal publicar o amenazar con publicar imagenes intimas no consensuadas, incluyendo imagenes generadas por IA. Las obligaciones de eliminacion por parte de las plataformas (requisito de retiro en 48 horas) entraron en vigor el 19 de mayo de 2026, con autoridad de cumplimiento de la FTC y posibles sanciones civiles de $53,088 por infraccion.
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Medico rige la informacion medica protegida en poder de entidades cubiertas (hospitales, medicos, aseguradoras) y sus asociados comerciales. Las entidades reguladas por HIPAA estan exentas de la CTDPA, pero sus obligaciones bajo HIPAA permanecen vigentes.
GLBA
La Ley Gramm-Leach-Bliley impone obligaciones de privacidad y seguridad a las instituciones financieras. La CTDPA excluye los datos regulados por GLBA (a nivel de datos bajo las reformas de 2025), pero la GLBA en si continua aplicando.
FCRA
La Ley de Informe Justo de Credito rige a las agencias de informes al consumidor y el uso de la informacion crediticia del consumidor. Los datos regulados por FCRA estan excluidos de la CTDPA.
COPPA
La Ley de Proteccion de la Privacidad Infantil en Linea rige la recopilacion en linea de datos personales de ninos menores de 13 anos. Los requisitos de consentimiento de COPPA aplican ademas de las protecciones de datos sensibles de la CTDPA para ninos.
Seccion 5 de la Ley de la FTC
La Comision Federal de Comercio tiene amplia autoridad para perseguir practicas de datos injustas o enganosas bajo la Seccion 5 de la Ley de la FTC, independientemente de si aplica una ley estatal de privacidad. El incumplimiento de las politicas de privacidad declaradas, las afirmaciones enganosas sobre seguridad de datos y las practicas de consentimiento enganosas pueden todas activar el cumplimiento de la FTC.
Estado de la APRA
La Ley Americana de Derechos de Privacidad (APRA), un proyecto de ley federal integral de privacidad, paso el comite en 2024 pero no se convirtio en ley. La APRA 2.0 se presento en 2025. A partir de mayo de 2026, no se ha promulgado ninguna ley federal integral de privacidad. Los residentes de Connecticut permanecen cubiertos por la CTDPA y las leyes federales sectoriales.
Como Ejercen Sus Derechos los Residentes de Connecticut
Para presentar una solicitud de derechos de privacidad a una empresa cubierta bajo la CTDPA, los residentes de Connecticut deben:
- Localizar el aviso de privacidad de la empresa, que debe ser claramente accesible y describir como presentar una solicitud de derechos.
- Presentar una solicitud a traves del mecanismo que proporciona la empresa, tipicamente un formulario en linea, una direccion de correo electronico o un numero telefonico gratuito.
- Esperar una respuesta dentro de 45 dias. La empresa puede extender el plazo por 45 dias adicionales con notificacion.
- Si se niega la solicitud, presentar una apelacion dentro del plazo indicado en el aviso de denegacion de la empresa. La empresa debe responder a la apelacion dentro de 60 dias.
- Si se niega la apelacion, la empresa debe proporcionar informacion sobre como presentar una queja ante el Departamento de Privacidad y Seguridad de Datos de la Fiscalia General de Connecticut.
Para excluirse de las ventas de datos y la publicidad dirigida usando Global Privacy Control, los consumidores pueden activar GPC en un navegador o extension de navegador compatible como Privacy Badger, Brave o DuckDuckGo Privacy Browser. Desde el 1 de enero de 2025, las empresas cubiertas por la CTDPA deben tratar esa senal como una solicitud valida de exclusion voluntaria.
Para reportar una violacion de datos que afecto su informacion personal, comuniquese con la Oficina de la Fiscalia General de Connecticut o use el formulario de reporte de violacion en linea.
Como se Compara Connecticut con Otras Leyes Estatales de Privacidad
La CTDPA de Connecticut se destaca entre las leyes estatales de privacidad por varias razones:
- Sin umbral de ingresos: A diferencia de California (CCPA) y Utah (UCPA), no hay un requisito de ingresos para que la ley aplique
- Senales universales de exclusion voluntaria: Connecticut fue uno de los primeros estados en exigir que las empresas respeten Global Privacy Control y mecanismos similares
- Protecciones solidas para menores: La prohibicion categorica de procesar los datos de menores para publicidad o venta, sin importar el consentimiento, va mas alla que la mayoria de las leyes estatales
- Cumplimiento proactivo: La oficina de la Fiscalia General emitio docenas de avisos y completo el primer acuerdo monetario dentro de dos anos de la vigencia de la ley, y participo en el cumplimiento multiestatal de GPC
- Reformas frecuentes: Connecticut ha reformado la CTDPA tres veces en cuatro anos, la mas reciente por la Ley Publica 26-64 (SB 4), vigente desde el 1 de octubre de 2026
- Protecciones de datos neuronales: Connecticut es uno de los pocos estados que incluye datos neuronales en su definicion de datos sensibles
- Disposiciones contra patrones oscuros: La CTDPA prohibe explicitamente el uso de patrones oscuros para obtener el consentimiento del consumidor
Pasos de Cumplimiento para Empresas
Las empresas sujetas a la CTDPA deben tomar los siguientes pasos:
- Determinar la aplicabilidad: Verifique si su empresa cumple con el umbral actual de 100,000 consumidores o el umbral de 25,000 consumidores mas 25% de ingresos. Preparese para el umbral de 35,000 consumidores vigente el 1 de julio de 2026.
- Actualizar los avisos de privacidad: Asegurese de que su aviso de privacidad describa todas las categorias requeridas, divulgue los propositos del procesamiento e incluya mecanismos de exclusion voluntaria.
- Respetar las senales de GPC: Implemente infraestructura tecnica para detectar y procesar las senales de Global Privacy Control como solicitudes de exclusion voluntaria de los residentes de Connecticut.
- Crear flujos de trabajo para solicitudes de derechos: Establezca procesos para recibir, verificar y responder a las solicitudes de acceso, correccion, eliminacion, portabilidad, exclusion voluntaria y apelacion dentro de 45 dias.
- Realizar evaluaciones de proteccion de datos: Documente las evaluaciones para publicidad dirigida, ventas de datos, procesamiento de datos sensibles y actividades de perfilamiento.
- Prepararse para el 1 de julio de 2026: Si procesa datos sensibles o vende datos personales en cualquier volumen, quedara cubierto independientemente del numero de consumidores. Actualice los contratos con encargados, extienda los programas de evaluacion de impacto a las actividades de perfilamiento, y agregue las divulgaciones de entrenamiento de LLM.
- Cumplir con la Ley de Seguridad de Datos de Seguros: Si su empresa tiene una licencia de seguros de Connecticut, mantenga un programa escrito de seguridad de la informacion y cumpla con el requisito de notificacion de tres dias habiles para eventos de ciberseguridad.
Mas Leyes de Connecticut
Explore temas legales adicionales de Connecticut y recursos de privacidad de datos:
- Leyes de grabacion de reuniones con IA en Connecticut
- Leyes de pension alimenticia en Connecticut
- Leyes de empleo a voluntad en Connecticut
- Leyes de accidentes automovilisticos en Connecticut
- Leyes de asientos de seguridad para ninos en Connecticut
- Leyes de custodia de menores en Connecticut
- Leyes de manutencion infantil en Connecticut
- Leyes de matrimonio de hecho en Connecticut
- Leyes sobre deepfakes en Connecticut
- Leyes de divorcio en Connecticut
- Leyes sobre mordeduras de perro en Connecticut
- Leyes de emancipacion en Connecticut
- Leyes de eliminacion de antecedentes penales en Connecticut
- Leyes sobre atropello y fuga en Connecticut
- Leyes de propietarios e inquilinos en Connecticut
- Leyes del limon en Connecticut
Guias detalladas
- Que es la CTDPA? La Ley de Privacidad de Datos de Connecticut Explicada
- Derechos del Consumidor de la CTDPA: Ejerza sus Derechos de Privacidad en Connecticut
- Lista de Verificacion de Cumplimiento de la CTDPA para Empresas (2026)
Noticias relacionadas
Fuentes y referencias
- Connecticut Data Privacy Act Overview(portal.ct.gov).gov
- CTDPA Full Text - Public Act 22-15(cga.ct.gov).gov
- Chapter 743jj - Data Privacy and Security Statutes(cga.ct.gov).gov
- 2025 Amendments - Public Act 25-113 (SB 1295)(cga.ct.gov).gov
- 2023 Amendments - Public Act 23-56(cga.ct.gov).gov
- CT AG - Reporting a Data Breach(portal.ct.gov).gov
- CT AG - Privacy and Data Security Department(portal.ct.gov).gov
- 2026 CTDPA Enforcement Report Press Release(portal.ct.gov).gov
- 2024 CTDPA Annual Report to General Assembly(portal.ct.gov).gov
- TicketNetwork Settlement Announcement(portal.ct.gov).gov
- CT Breach Notification Statute - Conn. Gen. Stat. 36a-701b(cga.ct.gov).gov
- Report a Breach Online Form(portal.ct.gov).gov
- Connecticut Public Act 26-64 (Substitute SB 4, 2026), full text(cga.ct.gov).gov
- Connecticut SB 4 (2026) Bill Status and Legislative History(cga.ct.gov).gov