Connecticut
Lista de Verificacion de Cumplimiento de la CTDPA para Empresas (2026)

Si su empresa opera en Connecticut o se dirige a residentes de Connecticut, la Ley de Privacidad de Datos de Connecticut (CTDPA), Conn. Gen. Stat. secciones 42-515 a 42-525, puede exigir una accion de cumplimiento inmediata. El periodo obligatorio de subsanacion de 60 dias expiro el 31 de diciembre de 2024, lo que significa que la Fiscalia General ahora puede proceder directamente a una accion civil de cumplimiento que conlleva hasta $5,000 por infraccion deliberada. Esta lista de verificacion recorre cada paso: la autoevaluacion de aplicabilidad, las exenciones de entidad y de datos, los requisitos de aviso de privacidad, el consentimiento de datos sensibles, la obligacion de exclusion voluntaria universal vigente desde el 1 de enero de 2025, las evaluaciones de proteccion de datos, los contratos con encargados, y las lecciones de cumplimiento del primer acuerdo de la CTDPA en Connecticut.
Para una vision general en lenguaje sencillo de lo que exige la CTDPA, consulte el explicador complementario. Para el desglose completo de cada derecho del consumidor y el plazo de respuesta de 45 dias, consulte los derechos del consumidor bajo la CTDPA.
Paso 1: Realice la Autoevaluacion de Aplicabilidad
Su empresa es un controlador cubierto bajo la CTDPA si hace negocios en Connecticut o produce productos o servicios dirigidos a residentes de Connecticut, Y durante el ano calendario anterior supero uno de dos umbrales numericos.
Hasta el 30 de junio de 2026, los dos activadores son: (1) procesar datos personales de al menos 100,000 consumidores de Connecticut, excluyendo los datos personales procesados unicamente para completar una transaccion de pago; o (2) procesar datos personales de al menos 25,000 consumidores mientras se obtiene mas del 25 por ciento de los ingresos brutos de la venta de datos personales. Conn. Gen. Stat. seccion 42-516(a)(1)-(2). El umbral de ingresos del 25 por ciento de Connecticut es notablemente mas estricto que el equivalente del 50 por ciento de Virginia y atrapara a corredores de datos y empresas de tecnologia publicitaria que podrian escapar de otras leyes estatales.
A partir del 1 de julio de 2026, la Ley Publica 25-113 reduce y reestructura sustancialmente estos activadores. Tres umbrales independientes reemplazan a los dos originales: procesar datos de al menos 35,000 consumidores de Connecticut; O procesar cualquier dato sensible sin importar el volumen de consumidores; O ofrecer cualquier dato personal para la venta, sin importar el volumen. Conn. Gen. Stat. seccion 42-516 segun enmienda. El activador del porcentaje de ingresos desaparece por completo.
Hay una cuarta via de cobertura que no tiene ningun umbral de volumen: los Controladores de Datos de Salud del Consumidor que hacen negocios en Connecticut estan cubiertos por las disposiciones de datos de salud de la CTDPA independientemente de a cuantos consumidores atiendan. Conn. Gen. Stat. secciones 42-516 y 42-526.
Preguntas clave que hacerse
- Cuantos residentes unicos de Connecticut aparecen en todos sus productos, servicios y sesiones del sitio web durante el ano calendario?
- Vende datos personales a terceros? De ser asi, que porcentaje de los ingresos brutos representa eso?
- Procesa alguna categoria de datos sensibles (condiciones de salud, biometria, geolocalizacion, datos de menores)?
- Maneja datos de salud del consumidor de alguna forma?
Si las respuestas honestas lo colocan en o por encima de cualquiera de los umbrales actuales, continue con todos los pasos restantes. Si esta por debajo de los umbrales actuales hoy, vuelva a verificar despues del 1 de julio de 2026, porque el limite de 35,000 consumidores y el activador de cualquier dato sensible atraparan a muchas mas empresas.
Paso 2: Confirme si Aplica una Exencion de Entidad o de Datos
Incluso si su empresa supera el umbral numerico, seis clases de entidades estan completamente exentas de la CTDPA bajo Conn. Gen. Stat. seccion 42-517(a): (1) organismos gubernamentales estatales y locales; (2) organizaciones sin fines de lucro, con una excepcion importante de datos de salud que se explica mas abajo; (3) instituciones de educacion superior; (4) asociaciones nacionales de valores registradas bajo la Ley de Bolsa de Valores; (5) instituciones financieras o datos sujetos al Titulo V de la Ley Gramm-Leach-Bliley; y (6) entidades cubiertas por HIPAA y sus asociados comerciales segun se definen en 45 C.F.R. seccion 160.103.
La exencion de organizaciones sin fines de lucro contiene un limite significativo. Una organizacion sin fines de lucro que califica como Controlador de Datos de Salud del Consumidor bajo la seccion 42-526 no obtiene el pase a nivel de entidad para sus operaciones de datos de salud. Las organizaciones sin fines de lucro que operan programas de bienestar, examenes de salud o servicios similares necesitan verificar si esa excepcion les aplica.
Separado de las exenciones de entidad, la seccion 42-517(b) excluye categorias especificas de datos sin importar quien las posea: informacion medica protegida bajo HIPAA; registros de identificacion de pacientes por uso de sustancias bajo 42 U.S.C. seccion 290dd-2; informacion crediticia del consumidor regulada por la Ley de Informe Justo de Credito; datos personales sujetos a FERPA; y datos personales procesados en el contexto laboral entre una empresa y sus propios empleados o solicitantes de empleo.
Como aplicar la doble verificacion
La exencion de entidad y la exencion de datos son vias independientes. Un hospital cubierto por HIPAA esta exento a nivel de entidad en todas sus operaciones. Una empresa de tecnologia que no esta cubierta por HIPAA aun puede tener algunos datos regulados por HIPAA si actua como asociado comercial, y ese flujo de datos esta exento a nivel de datos aunque la empresa no este exenta a nivel de entidad.
Para cada flujo de datos que procesa, pregunte (a) cubre una exencion de entidad a toda la organizacion para todas las operaciones? y (b) incluso si la organizacion esta cubierta, elimina una exencion de categoria de datos este tipo especifico de datos del alcance de la CTDPA? Solo despues de despejar ambas preguntas debe tratar una actividad de procesamiento como sujeta a las obligaciones de la CTDPA.
Paso 3: Audite su Aviso de Privacidad
La CTDPA exige que los controladores proporcionen a los consumidores un aviso de privacidad razonablemente accesible, claro y significativo. Conn. Gen. Stat. seccion 42-520(b). Seis elementos son obligatorios en todo aviso de privacidad cubierto:
- Las categorias de datos personales que procesa el controlador.
- Los propositos del procesamiento para cada categoria.
- Como pueden los consumidores ejercer sus cinco derechos y, es importante, como apelar una denegacion de esos derechos.
- Las categorias de datos personales que el controlador comparte con terceros.
- Las categorias de terceros con quienes se comparten los datos.
- Una direccion de correo electronico activa u otro mecanismo de contacto en linea que el consumidor pueda usar para comunicarse con el controlador.
A partir del 1 de julio de 2026, entra en vigor un septimo elemento obligatorio: una declaracion clara y visible que divulgue si el controlador recopila, usa o vende datos personales con el proposito de entrenar modelos de lenguaje de gran escala, ya sea que ese entrenamiento ocurra internamente o a traves de un proveedor externo. Conn. Gen. Stat. seccion 42-520 segun enmienda por la Ley Publica 25-113. Esta obligacion de divulgacion de LLM es unica entre las leyes estatales de privacidad actualmente vigentes y exigira una actualizacion a cualquier aviso de privacidad usado para operaciones de IA o aprendizaje automatico.
Lista de verificacion de auditoria del aviso de privacidad
| Elemento requerido | Ley actual (hasta el 30 de junio de 2026) | Requerido a partir del 1 de julio de 2026 |
|---|---|---|
| Categorias de datos personales procesados | Si | Si |
| Propositos del procesamiento | Si | Si |
| Como ejercen los consumidores sus derechos + como apelar | Si | Si |
| Categorias de datos compartidos con terceros | Si | Si |
| Categorias de terceros | Si | Si |
| Mecanismo de contacto activo | Si | Si |
| Divulgacion de entrenamiento de LLM | No | Si |
Revise cada fila contra su aviso de privacidad actual. La accion de cumplimiento de TicketNetwork surgio directamente de un aviso de privacidad que la Fiscalia General describio como "en gran parte ilegible, sin derechos de datos clave, y con mecanismos de derechos mal configurados o inoperables". El funcionamiento practico importa tanto como el texto del aviso: si el enlace de correo electronico no funciona o el boton de exclusion voluntaria no hace nada, el aviso falla incluso si el lenguaje esta tecnicamente completo.
Paso 4: Implemente la Minimizacion de Datos y las Salvaguardas de Seguridad
Dos deberes fundamentales del controlador aplican a todo el procesamiento cubierto. Primero, los controladores deben limitar la recopilacion de datos personales a lo que sea adecuado, relevante y razonablemente necesario en relacion con los propositos para los cuales se procesan los datos, tal como esos propositos fueron divulgados al consumidor. Conn. Gen. Stat. seccion 42-520(a)(1). No puede recopilar mas de lo que requiere su uso divulgado, y no puede reutilizar los datos para usos incompatibles sin obtener un nuevo consentimiento.
Segundo, los controladores deben establecer, implementar y mantener practicas razonables de seguridad de datos administrativas, tecnicas y fisicas apropiadas para el volumen y la naturaleza de los datos personales procesados. Conn. Gen. Stat. seccion 42-520(a)(3). El estandar se calibra segun la escala: una empresa que procesa 5 millones de registros sensibles enfrenta una carga mayor que una que procesa 110,000 registros de contacto basicos. A menudo se pasa por alto un cuarto deber: los controladores no pueden procesar datos personales en violacion de las leyes estatales o federales que prohiben la discriminacion ilegal contra los consumidores. Conn. Gen. Stat. seccion 42-520(a)(4).
Pasos practicos
- Mapee todos los flujos de datos personales: que recopila, donde se almacena, quien puede acceder a ellos, y cuanto tiempo los retiene.
- Compare el alcance de la recopilacion con los propositos divulgados en su aviso de privacidad actual y cierre cualquier brecha.
- Revise su programa de seguridad frente al volumen y la sensibilidad de los datos que posee y documente la revision.
- Confirme que ningun sistema automatizado de perfilamiento o puntuacion produce resultados que puedan constituir un impacto dispar ilegal basado en caracteristicas protegidas.
- Establezca un cronograma de retencion de datos y aplique la eliminacion una vez que los datos ya no sean necesarios para el proposito divulgado.

Paso 5: Mapee los Datos Sensibles y Obtenga Consentimiento de Inclusion Voluntaria
La desviacion mas critica de la CTDPA de un marco de exclusion voluntaria es el requisito de consentimiento afirmativo de INCLUSION voluntaria antes de procesar datos sensibles. Este consentimiento debe obtenerse antes de que comience el procesamiento. Conn. Gen. Stat. seccion 42-520(a)(5).
Hasta el 30 de junio de 2026, las categorias estatutarias de datos sensibles son: datos que revelan origen racial o etnico; creencias religiosas; condiciones de salud mental o fisica; orientacion sexual; estatus de ciudadania o inmigracion; datos geneticos o datos biometricos procesados con el proposito de identificar de manera unica a una persona; datos personales recopilados de un menor conocido; y datos de geolocalizacion precisa definidos como un radio de 1,750 pies o menos. Conn. Gen. Stat. seccion 42-515.
A partir del 1 de julio de 2026, la Ley Publica 25-113 amplia la definicion de datos sensibles para agregar: datos que revelan discapacidad o tratamiento mental o fisico (distinto de la categoria existente de "condiciones de salud mental o fisica", que ya estaba en el estatuto original); estatus transgenero o no binario; informacion derivada de datos geneticos o biometricos; datos neuronales (informacion generada al medir la actividad del sistema nervioso central de una persona); informacion de cuentas financieras incluyendo numeros de cuenta, numeros de tarjeta, y credenciales de inicio de sesion que permitirian el acceso a una cuenta financiera; y numeros de identificacion emitidos por el gobierno incluyendo numeros de Seguro Social, licencias de conducir y pasaportes. Conn. Gen. Stat. seccion 42-515 segun enmienda. La adicion de numeros de identificacion gubernamental e informacion de cuentas financieras es una expansion practica significativa: cualquier sistema que almacene numeros de Seguro Social, numeros de cuentas financieras o credenciales de cuenta para cualquier proposito no exento se convierte en una operacion de datos sensibles que requiere consentimiento de inclusion voluntaria despues del 1 de julio de 2026.
Pasos para el cumplimiento de datos sensibles
Revise cada categoria sensible y pregunte si alguno de sus productos, herramientas de analisis, plataformas publicitarias, cuestionarios de salud, o perfiles de usuario tocan esa categoria. Una aplicacion de bienestar que registra sintomas de salud mental, un programa de lealtad minorista que recopila coordenadas GPS precisas, y cualquier sistema que almacene numeros de Seguro Social o numeros de cuentas financieras involucran todos datos sensibles.
Para cada flujo de datos sensibles que identifique, necesita un mecanismo de inclusion voluntaria granular e informado que: (1) describa claramente que datos sensibles se estan recopilando; (2) explique el proposito; y (3) proporcione una eleccion genuina de rechazar sin perder el servicio principal cuando sea posible. Las casillas premarcadas, el consentimiento agrupado, y las pantallas retroactivas de inclusion voluntaria no cumplen con el estandar de consentimiento afirmativo.
Paso 6: Respete la Senal Universal de Preferencia de Exclusion Voluntaria
Desde el 1 de enero de 2025, todo controlador sujeto a la CTDPA debe reconocer las senales de preferencia de exclusion voluntaria (OOPS) enviadas a traves de navegadores o extensiones que protegen la privacidad, tratando esas senales como solicitudes del consumidor para excluirse de la venta de datos personales y la publicidad dirigida. Conn. Gen. Stat. seccion 42-520(c). El Global Privacy Control (GPC) es la senal estandarizada principal en uso actual.
La obligacion de OOPS agrega una capa tecnica significativa sobre los mecanismos manuales de exclusion voluntaria que la mayoria de las empresas ya mantienen. A diferencia de una presentacion de formulario, el GPC se activa silenciosa y automaticamente mientras un consumidor navega. Las empresas deben construir o configurar logica del lado del servidor o del cliente que detecte la senal y suprima los flujos de datos de venta y publicidad dirigida para esa sesion. La senal debe originarse de una plataforma que le permita verificar que el consumidor es residente de Connecticut.
Si la senal de preferencia de exclusion voluntaria de un consumidor entra en conflicto con una eleccion de privacidad que expreso previamente, o con su participacion voluntaria en un programa de lealtad o descuentos, usted debe respetar la senal de todos modos. Sin embargo, puede notificar al consumidor sobre el conflicto y pedirle que confirme su eleccion con el entendimiento de que la confirmacion podria afectar su preferencia previa o su participacion en el programa. Conn. Gen. Stat. seccion 42-520(c); orientacion de la Fiscalia General de Connecticut, 19 de diciembre de 2024.
Pasos de implementacion
- Confirme que su plataforma de gestion de consentimiento o sistema de gestion de etiquetas pueda detectar las senales de encabezado de GPC.
- Mapee que flujos de datos e integraciones de tecnologia publicitaria constituyen "ventas" o "publicidad dirigida" bajo las definiciones de la CTDPA.
- Suprima esos flujos cuando se reciba una senal valida de GPC de una sesion que pueda atribuirse a un residente de Connecticut.
- Documente la implementacion tecnica para poder demostrarla a la Fiscalia General a solicitud.
- Revise la orientacion de exclusion voluntaria de diciembre de 2024 de la Fiscalia General de Connecticut para la lista actual de formatos de senal aprobados.
Paso 7: Realice y Documente Evaluaciones de Proteccion de Datos
Las evaluaciones escritas de proteccion de datos (DPA) son obligatorias bajo Conn. Gen. Stat. seccion 42-522(a) para cada actividad de procesamiento que presente un riesgo elevado de dano al consumidor. Cuatro categorias de procesamiento activan evaluaciones obligatorias:
- Procesamiento de datos personales para publicidad dirigida.
- Venta de datos personales.
- Procesamiento de datos personales para perfilamiento que presenta un riesgo razonablemente previsible de trato injusto o enganoso, impacto dispar ilegal, lesion financiera o fisica, o intrusiones en la privacidad de los consumidores.
- Procesamiento de datos sensibles.
Cada evaluacion debe documentar los beneficios de la actividad de procesamiento, los riesgos potenciales para los derechos e intereses del consumidor, y las salvaguardas desplegadas para mitigar esos riesgos. El analisis requiere una ponderacion genuina de los beneficios contra el dano residual al consumidor, no un ejercicio de marcar casillas.
A partir del 1 de agosto de 2026, entra en vigor un requisito separado y obligatorio de evaluacion de impacto de perfilamiento bajo la Ley Publica 25-113 para los controladores que realizan perfilamiento con el proposito de tomar decisiones que producen cualquier efecto legal o similarmente significativo sobre los consumidores. Conn. Gen. Stat. seccion 42-522 segun enmienda. Esta evaluacion debe documentar: los propositos y usos previstos del perfilamiento; las categorias de datos involucradas; los beneficios esperados; las medidas de mitigacion de riesgos; el enfoque de transparencia adoptado; y las salvaguardas posteriores al despliegue. La evaluacion de impacto de perfilamiento es distinta y adicional a la DPA general.
La Fiscalia General puede solicitar las evaluaciones de proteccion de datos completadas mediante una demanda civil de investigacion como parte de cualquier investigacion de la CTDPA. Conn. Gen. Stat. seccion 42-522(c). Es importante destacar que las evaluaciones divulgadas a la Fiscalia General son confidenciales y no estan sujetas a divulgacion publica bajo la Ley de Libertad de Informacion de Connecticut. Trate los borradores y las evaluaciones finales como material de trabajo sensible desde el principio.
Alcance y momento oportuno
Una evaluacion puede cubrir un conjunto comparable de operaciones de procesamiento en lugar de requerir un documento separado para cada campana individual. Las evaluaciones aplican de manera prospectiva a las actividades de procesamiento nuevas o materialmente modificadas. Mantenga las evaluaciones completadas en un sistema documentado y recuperable porque una demanda civil de investigacion puede llegar con un plazo de produccion corto.
Paso 8: Ejecute Contratos Escritos con Encargados
Todo proveedor o encargado de servicios que procese datos personales en su nombre debe estar regido por un contrato escrito vinculante antes de que comience el procesamiento. Conn. Gen. Stat. seccion 42-521. El contrato debe especificar: las instrucciones de procesamiento, la naturaleza y el proposito del procesamiento, el tipo de datos personales involucrados, y la duracion del procesamiento. Estos cuatro elementos definen el alcance de la actividad autorizada del encargado.
Mas alla del alcance, el contrato debe obligar al encargado a cumplir con seis categorias de deberes:
- Mantener la confidencialidad: Todo el personal que maneje datos personales debe estar sujeto a obligaciones de confidencialidad.
- Eliminar o devolver los datos: A solicitud del controlador o al finalizar el contrato, el encargado debe eliminar o devolver todos los datos personales a menos que la retencion sea requerida por ley.
- Poner a disposicion la informacion de cumplimiento: El encargado debe proporcionar la informacion razonablemente necesaria para que el controlador demuestre el cumplimiento de la CTDPA.
- Cooperar con las auditorias: El encargado debe someterse y cooperar con auditorias razonables o evaluaciones independientes bajo la direccion del controlador.
- Transferir a subencargados: Cualquier subencargado contratado por el encargado debe estar cubierto por un contrato escrito con obligaciones equivalentes.
- Notificar violaciones de instrucciones: Si el encargado determina que una instruccion de procesamiento del controlador viola la CTDPA, debe informar al controlador.
Pasos del inventario de proveedores
Antes de redactar o actualizar contratos, construya un inventario completo de proveedores. Enumere a cada tercero que maneje datos personales que usted controla: proveedores de infraestructura en la nube, proveedores de analisis, plataformas de marketing, procesadores de pagos, herramientas de gestion de relaciones con el cliente, y cualquier plataforma de software como servicio que ingiera datos de sus sistemas. Cada relacion es un encargado (que actua bajo sus instrucciones) o un controlador tercero (con sus propios propositos de uso de datos). Esa distincion determina si un acuerdo de procesamiento de datos o un acuerdo de intercambio de datos es el instrumento correcto.

Paso 9: Implemente Flujos de Trabajo para Solicitudes de Derechos del Consumidor
Los consumidores de Connecticut tienen cinco derechos exigibles bajo Conn. Gen. Stat. seccion 42-519: (1) acceso: confirmar si sus datos personales se procesan y obtener una copia; (2) correccion: corregir inexactitudes en sus datos; (3) eliminacion: solicitar la eliminacion de sus datos personales, incluyendo los datos obtenidos a traves de terceros; (4) portabilidad: recibir los datos en un formato portatil y facilmente utilizable; (5) exclusion voluntaria: de la publicidad dirigida, las ventas de datos personales, y cierto perfilamiento que produce efectos legales o similarmente significativos.
Los controladores deben responder a las solicitudes autenticadas dentro de 45 dias de recibidas. Se permite una unica extension de hasta 45 dias adicionales cuando sea razonablemente necesario, siempre que el controlador notifique al consumidor sobre la extension dentro de la ventana inicial de 45 dias.
Si usted niega una solicitud, debe informar al consumidor de la razon y proporcionar un mecanismo de apelacion. Los controladores tienen entonces 60 dias para responder a las apelaciones. Si se niega la apelacion, debe proporcionar al consumidor informacion sobre como presentar una queja ante la Fiscalia General. Esta cadena de apelacion de dos niveles debe describirse en su aviso de privacidad bajo la seccion de "como ejercer los derechos".
Para un recorrido detallado de cada derecho, los requisitos de autenticacion de solicitudes, y plantillas de respuesta, consulte los derechos del consumidor bajo la CTDPA.
Paso 10: Aplique Protecciones Elevadas para los Datos de Menores
Bajo la ley actual hasta el 30 de junio de 2026, los controladores no pueden procesar los datos personales de un consumidor que saben con certeza que tiene entre 13 y 15 anos para publicidad dirigida o ventas de datos sin el consentimiento afirmativo de inclusion voluntaria de ese consumidor. El consentimiento parental bajo COPPA aplica por separado para los ninos menores de 13 anos.
A partir del 1 de julio de 2026, la Ley Publica 25-113 elimina por completo la opcion de consentimiento para el rango de edad de 13 a 17 anos. La publicidad dirigida y las ventas de datos personales dirigidas a consumidores que el controlador sabe, o ignora deliberadamente, que son menores de 18 anos, se convierten en una prohibicion absoluta sin importar el consentimiento. Conn. Gen. Stat. seccion 42-520 segun enmienda. Ningun consentimiento parental o del usuario puede autorizar la practica despues de esa fecha.
Este cambio requiere una revision de cumplimiento de cualquier producto, sitio web o servicio que tenga una audiencia juvenil o que un observador razonable esperaria que atrajera a usuarios menores de 18 anos. El estandar de "ignorancia deliberada" significa que un controlador no puede evitar la regla simplemente al declinar verificar edades. Las empresas que operan plataformas generalmente comercializadas a adultos pero que en la practica atraen a usuarios adolescentes deben evaluar sus practicas de publicidad dirigida y venta de datos ahora.
Paso 11: Entienda el Cumplimiento: Sin Periodo de Subsanacion, $5,000 por Infraccion, Sin Demanda Privada
La CTDPA es aplicada exclusivamente por la Fiscalia General de Connecticut bajo la Ley de Practicas Comerciales Justas de Connecticut (CUTPA), Conn. Gen. Stat. seccion 42-110b y siguientes. No existe un derecho de accion privado. Los consumidores individuales y los demandantes de acciones colectivas no pueden demandar a su empresa por infracciones de la CTDPA. Conn. Gen. Stat. seccion 42-524.
Las sanciones por infracciones deliberadas pueden alcanzar $5,000 por infraccion, ademas de medidas cautelares, restitucion y desembolso de ganancias. La estructura por infraccion es significativa: una sola campana de marketing que procesa datos sensibles sin consentimiento de inclusion voluntaria para 50,000 consumidores de Connecticut no produce una sola infraccion. Construya el cumplimiento antes de recibir un aviso, no despues.
El periodo de subsanacion desaparecio
La CTDPA originalmente proporciono un periodo obligatorio de subsanacion de 60 dias: cuando la Fiscalia General identificaba una infraccion subsanable, el controlador tenia 60 dias para remediarla antes de que pudiera proceder una accion de cumplimiento. Ese periodo de subsanacion expiro por estatuto el 31 de diciembre de 2024. Conn. Gen. Stat. seccion 42-524. Connecticut fue el primer estado en poner fin al periodo de subsanacion de una ley integral de privacidad. Desde el 1 de enero de 2025, la Fiscalia General tiene plena discrecion para proceder directamente al litigio sin una ventana de espera requerida.
La Fiscalia General conserva la discrecion informal de permitir tiempo de remediacion en casos apropiados, pero las empresas ya no tienen derecho a esa oportunidad. El reporte de cumplimiento actualizado de la Fiscalia General indica que las entidades cubiertas que reciban un aviso de infraccion deben asumir que la Fiscalia General esta preparada para presentar una demanda si la remediacion no se completa con prontitud.
Lecciones de la primera accion de cumplimiento
El 8 de julio de 2025, la Fiscalia General de Connecticut anuncio un acuerdo con TicketNetwork, Inc. por $85,000, la primera accion de cumplimiento de la CTDPA resuelta publicamente. Los hallazgos de la Fiscalia General son instructivos. El aviso de privacidad de TicketNetwork fue descrito como "en gran parte ilegible, sin derechos de datos clave, y con mecanismos de derechos mal configurados o inoperables". TicketNetwork habia recibido un aviso de subsanacion el 9 de noviembre de 2023, no cumplio dentro del periodo de subsanacion entonces aplicable, y luego tergiverso repetidamente su progreso de remediacion ante la oficina de la Fiscalia General.
La narrativa de cumplimiento identifica cuatro prioridades practicas: el aviso de privacidad debe ser legible para los consumidores comunes; cada mecanismo de derechos enumerado en el aviso debe funcionar realmente; cuando la Fiscalia General se comunique con usted, responda con precision; y no trate un aviso de subsanacion como una invitacion a retrasarse indefinidamente. El periodo de subsanacion ya desaparecio. La primera accion de cumplimiento muestra que la Fiscalia General lo esta usando.
Elementos del programa de cumplimiento
- Designe a un responsable interno para el cumplimiento de la CTDPA con autoridad y presupuesto documentados.
- Mantenga un calendario de cumplimiento: revision anual del umbral de aplicabilidad (especialmente despues del 1 de julio de 2026), revision del aviso de privacidad incluyendo los nuevos elementos de LLM y menores, revision de DPA para nuevas actividades de procesamiento, y auditoria de contratos con proveedores.
- Capacite al personal que maneja datos personales sobre las reglas de consentimiento de datos sensibles, la obligacion de senal de preferencia de exclusion voluntaria, los flujos de trabajo de solicitudes del consumidor, y los procedimientos de escalamiento.
- Mantenga todas las DPA, contratos con encargados, y registros de consentimiento en un sistema documentado y recuperable. Si la Fiscalia General envia una demanda civil de investigacion, necesitara producirlos con poca anticipacion.
- Pruebe cada mecanismo de derechos del consumidor enumerado en su aviso de privacidad al menos trimestralmente. Un enlace de exclusion voluntaria roto o una bandeja de solicitudes sin supervisar es independientemente sancionable.
Para la vision general completa de la ley de privacidad de datos de Connecticut y como se compara la CTDPA con otras leyes estatales de privacidad, consulte la pagina principal.
Mas Leyes de Connecticut
- Leyes de grabacion de reuniones con IA en Connecticut
- Leyes de pension alimenticia en Connecticut
- Leyes de empleo a voluntad en Connecticut
- Leyes de accidentes automovilisticos en Connecticut
- Leyes de asientos de seguridad para ninos en Connecticut
- Leyes de custodia de menores en Connecticut
- Leyes de manutencion infantil en Connecticut
- Leyes de matrimonio de hecho en Connecticut
- Leyes sobre deepfakes en Connecticut
- Leyes de divorcio en Connecticut
- Leyes sobre mordeduras de perro en Connecticut
- Leyes de emancipacion en Connecticut
- Leyes de eliminacion de antecedentes penales en Connecticut
- Leyes sobre atropello y fuga en Connecticut
- Leyes de propietarios e inquilinos en Connecticut
- Leyes del limon en Connecticut
Guias relacionadas
- Que es la CTDPA? La Ley de Privacidad de Datos de Connecticut Explicada
- Derechos del Consumidor de la CTDPA: Ejerza sus Derechos de Privacidad en Connecticut
- Leyes de Privacidad de Datos de Connecticut: Guia de Derechos del Consumidor de la CTDPA (2026)
- Leyes de Privacidad Biometrica de Connecticut: Recopilacion, Consentimiento y Sanciones (2026)
- Tabla Comparativa de Leyes Estatales de Privacidad de EE. UU. (2026)
Preguntas frecuentes
Aplica la CTDPA a las organizaciones sin fines de lucro?
Las organizaciones sin fines de lucro generalmente estan exentas de la CTDPA bajo Conn. Gen. Stat. seccion 42-517(a). Sin embargo, la exencion de organizaciones sin fines de lucro no se extiende a los Controladores de Datos de Salud del Consumidor. Una organizacion sin fines de lucro que maneja datos de salud del consumidor, como un programa de bienestar, un registro de enfermedades, o una organizacion benefica enfocada en salud, debe seguir cumpliendo con las disposiciones de datos de salud de la CTDPA sin importar su estatus de organizacion sin fines de lucro.
Que hace diferente al umbral de ingresos del 25% de Connecticut de otras leyes estatales de privacidad?
El segundo activador original de aplicabilidad de Connecticut cubre a empresas que procesan datos de 25,000 o mas consumidores que obtienen mas del 25 por ciento de los ingresos brutos de la venta de datos personales. El umbral equivalente de Virginia es del 50 por ciento, lo que hace que el umbral de Connecticut sea mas estricto. Esta distincion desaparece a partir del 1 de julio de 2026, cuando el activador de porcentaje de ingresos es reemplazado por una regla mas simple: cualquier venta de datos personales, sin importar la proporcion de ingresos o el volumen de consumidores, activa de manera independiente la cobertura bajo la Ley Publica 25-113.
Cuando entro en vigor el requisito de exclusion voluntaria universal, y que senales debo respetar?
La obligacion de exclusion voluntaria universal ha estado vigente desde el 1 de enero de 2025. Todas las empresas cubiertas deben tratar las senales de preferencia de exclusion voluntaria, incluyendo el Global Privacy Control (GPC), como solicitudes para excluirse de la venta de datos personales y la publicidad dirigida. La senal debe provenir de una plataforma que le permita verificar la residencia en Connecticut. La Fiscalia General de Connecticut emitio orientacion de implementacion el 19 de diciembre de 2024, asesorando a las empresas sobre los pasos tecnicos de cumplimiento.
Cual es la diferencia entre una evaluacion de proteccion de datos y una evaluacion de impacto de perfilamiento?
Una evaluacion de proteccion de datos bajo Conn. Gen. Stat. seccion 42-522 se requiere para cuatro categorias de procesamiento: publicidad dirigida, ventas de datos, perfilamiento riesgoso, y procesamiento de datos sensibles. Sopesa los beneficios contra los riesgos para el consumidor. Una evaluacion de impacto de perfilamiento, nueva y requerida a partir del 1 de agosto de 2026 bajo la Ley Publica 25-113, es un documento separado y mas detallado requerido especificamente cuando el perfilamiento produce cualquier efecto de decision legal o similarmente significativo sobre los consumidores. Debe documentar los propositos, las categorias de datos, los riesgos, las medidas de mitigacion, el enfoque de transparencia, y las salvaguardas posteriores al despliegue.
Existe un derecho de accion privado bajo la CTDPA?
No. El cumplimiento recae exclusivamente en la Fiscalia General de Connecticut bajo la CUTPA. Los consumidores individuales no pueden presentar una demanda por infracciones de la CTDPA, y no existe un mecanismo de accion colectiva bajo el estatuto. Esta es una diferencia estructural significativa respecto a la Ley de Privacidad de Informacion Biometrica de Illinois, que permite a las personas demandar directamente y ha generado cientos de millones de dolares en acuerdos de acciones colectivas.
Puede la Fiscalia General de Connecticut todavia otorgar una oportunidad de subsanacion despues del 31 de diciembre de 2024?
La Fiscalia General conserva la discrecion informal de permitir tiempo de remediacion en casos apropiados, pero las empresas ya no tienen derecho a una oportunidad de subsanacion por estatuto. El periodo obligatorio de subsanacion de 60 dias expiro el 31 de diciembre de 2024. La postura de cumplimiento actualizada de la Fiscalia General indica que las entidades cubiertas que reciban un aviso de infraccion deben asumir que la Fiscalia General esta preparada para presentar una demanda si la remediacion no se completa con prontitud. Confiar en una oportunidad discrecional de subsanacion no es una estrategia de cumplimiento.
Afectan los cambios de umbral del 1 de julio de 2026 mi programa de cumplimiento existente?
Si, potencialmente de manera significativa. Si su empresa anteriormente estaba por debajo del umbral de 100,000 consumidores, ahora debe evaluar si procesa datos de 35,000 o mas consumidores de Connecticut, procesa cualquier dato sensible, o vende cualquier dato personal. Los tres son activadores independientes bajo la Ley Publica 25-113. Las empresas recien cubiertas por las reformas de 2026 necesitan completar un analisis de brechas que cubra: actualizaciones del aviso de privacidad incluyendo la nueva divulgacion de LLM, la expansion del inventario de datos sensibles para incluir numeros de Seguro Social, informacion de cuentas financieras, y datos de discapacidad/tratamiento, la prohibicion de publicidad de datos de menores, y las revisiones de contratos con encargados.
Cuales son los requisitos de divulgacion de entrenamiento de LLM y cuando entran en vigor?
A partir del 1 de julio de 2026, Connecticut exige que todos los controladores cubiertos incluyan una declaracion clara y visible en su aviso de privacidad que divulgue si recopilan, usan o venden datos personales con el proposito de entrenar modelos de lenguaje de gran escala. La obligacion aplica ya sea que el entrenamiento ocurra internamente o a traves de un proveedor externo. Este requisito de divulgacion es uno de los primeros de su tipo en la ley estatal de privacidad. Los controladores que usan servicios de IA de proveedores que entrenan con datos de clientes, o que alimentan sus propios conjuntos de datos en canalizaciones de entrenamiento de LLM, deben actualizar sus avisos de privacidad antes del 1 de julio de 2026.
Fuentes y referencias
- Conn. Gen. Stat. sections 42-515 through 42-525 (CTDPA, Chapter 743jj)(cga.ct.gov)
- Public Act 22-15 (Original CTDPA, enacted May 10, 2022, effective July 1, 2023)(cga.ct.gov)
- Public Act 23-56 (2023 CTDPA Amendments, consumer health data and child safety)(cga.ct.gov)
- Public Act 25-113 (SB 1295, signed June 25, 2025; expanded thresholds, LLM disclosure, minors' prohibition, sensitive data expansion, profiling assessments; most provisions effective July 1, 2026)(cga.ct.gov)
- Connecticut Attorney General, The Connecticut Data Privacy Act (official guidance)(portal.ct.gov)
- Connecticut AG, 'Tong Advises Connecticut Consumers and Businesses of Opt Out Rights and Requirements' (Dec. 19, 2024)(portal.ct.gov)
- Connecticut AG, 'Attorney General Tong Announces Settlement with TicketNetwork' (July 8, 2025)(portal.ct.gov)
- Connecticut AG, 'Attorney General Tong Releases Updated Report on Connecticut Data Privacy Act' (2026)(portal.ct.gov)