Connecticut
¿Qué Es la CTDPA? La Ley de Privacidad de Datos de Connecticut Explicada

La Ley de Privacidad de Datos de Connecticut (CTDPA), codificada en Conn. Gen. Stat. §§ 42-515 a 42-525, entró en vigencia el 1 de julio de 2023, convirtiendo a Connecticut en el quinto estado en promulgar una ley integral de privacidad de datos del consumidor. El gobernador Ned Lamont firmó la Ley Pública 22-15 el 10 de mayo de 2022, y desde entonces la ley se ha ampliado dos veces hasta convertirse en uno de los marcos de privacidad estatales más protectores del país.
Hasta 2026, el Fiscal General de Connecticut aplica activamente la CTDPA y ha resuelto su primera acción de aplicación bajo esta ley, emitiendo docenas de avisos de infracción y cartas de advertencia a las empresas cubiertas.
Qué Es la CTDPA: Estatuto, Promulgación y Antecedentes
La CTDPA es el estatuto integral de privacidad de datos del consumidor de Connecticut, codificado en Conn. Gen. Stat. §§ 42-515 a 42-525 (Capítulo 743jj). El gobernador Ned Lamont firmó el Proyecto de Ley del Senado 6 como Ley Pública 22-15 el 10 de mayo de 2022, con una fecha de vigencia diferida al 1 de julio de 2023, lo que dio a las empresas poco más de un año para prepararse. El título oficial de la ley es "An Act Concerning Personal Data Privacy and Online Monitoring" (Ley Sobre la Privacidad de los Datos Personales y el Monitoreo en Línea).
Connecticut fue el quinto estado en promulgar una ley de este alcance, uniéndose a California, Virginia, Colorado y Utah. Pero la CTDPA se distinguió rápidamente de sus predecesoras. Su umbral secundario de aplicabilidad utiliza un disparador del 25 por ciento de los ingresos brutos, en lugar de la barrera del 50 por ciento establecida por Virginia. Cubre expresamente a los controladores de datos de salud del consumidor sin importar su tamaño. Y en 2025 se convirtió en uno de los primeros estados del país en exigir que las empresas respeten las señales de Control de Privacidad Global enviadas desde los navegadores de los consumidores.
La CTDPA utiliza un marco de controlador-encargado tomado del Reglamento General de Protección de Datos de la UE. Las entidades que determinan la finalidad y los medios del procesamiento de datos personales son "controladores"; las entidades que procesan datos en nombre de un controlador son "encargados del procesamiento". Los controladores asumen las principales obligaciones de cumplimiento, incluidos los requisitos de aviso de privacidad, la minimización de datos, las evaluaciones de protección de datos para actividades de alto riesgo, y los contratos con encargados que limitan cómo se puede usar la información posteriormente.
Para conocer el marco de cumplimiento completo que abarca las obligaciones de los controladores, los contratos con encargados y el historial de aplicación de la ley, consulte la página principal de Leyes de Privacidad de Datos de Connecticut.
A Quién Cubre la CTDPA: Umbrales de Aplicabilidad y Exenciones
La CTDPA alcanza a las entidades con fines de lucro que realizan negocios en Connecticut o producen productos o servicios dirigidos a residentes de Connecticut y que cumplen con alguno de dos umbrales de volumen durante el año calendario anterior.
Según Conn. Gen. Stat. § 42-516(a), una empresa está cubierta si: (1) controló o procesó los datos personales de al menos 100,000 consumidores (excluyendo los datos procesados únicamente para completar una transacción de pago y no conservados para ningún otro fin), O (2) controló o procesó los datos personales de al menos 25,000 consumidores y derivó más del 25 por ciento de los ingresos brutos de la venta de datos personales.
El umbral de ingresos del 25 por ciento es una de las características estructurales más importantes de la CTDPA. La VCDPA de Virginia exige más del 50 por ciento de los ingresos brutos provenientes de la venta de datos antes de que se active el umbral menor de número de consumidores. La barrera del 25 por ciento de Connecticut significa que una empresa que deriva incluso una cuarta parte de sus ingresos de la venta de datos queda cubierta una vez que alcanza los 25,000 consumidores de Connecticut, lo que atrapa a una gama más amplia de corredores de datos, empresas de generación de clientes potenciales y compañías de tecnología publicitaria que podrían escapar del disparador más estrecho de Virginia.
Una categoría de empresa está cubierta sin ningún umbral de volumen. Los controladores de datos de salud del consumidor (aquellos que, solos o junto con otros, determinan la finalidad y los medios del procesamiento de datos de salud del consumidor) están sujetos a la CTDPA sin importar cuántos consumidores atiendan. Los datos de salud del consumidor bajo la CTDPA incluyen los datos que los controladores usan para identificar la condición o el diagnóstico de salud física o mental de un consumidor, incluida la información sobre atención de afirmación de género y la información de salud reproductiva y sexual. Una pequeña startup de tecnología de salud que procesa este tipo de datos incluso para un puñado de residentes de Connecticut es un controlador cubierto.
La definición de "consumidor" también merece un análisis cuidadoso. La CTDPA define al "consumidor" como un residente de Connecticut que actúa únicamente en calidad individual o doméstica. Los empleados, propietarios, directores, funcionarios y contratistas no son "consumidores" cuando sus interacciones con un controlador ocurren únicamente en el contexto de su relación laboral o comercial. Esta exclusión laboral se aplica a ambos lados de la relación: los datos internos de recursos humanos de una empresa sobre su propio personal no están sujetos a los derechos del consumidor de la CTDPA.
Las exenciones en Conn. Gen. Stat. § 42-516(b) son sustanciales, aunque una de ellas conlleva una excepción importante:
- Organizaciones sin fines de lucro (pero esta exención NO se aplica si la organización califica como controlador de datos de salud del consumidor)
- Instituciones de educación superior
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley
- Entidades cubiertas por HIPAA y sus asociados comerciales
- Organismos gubernamentales
- Datos ya regulados por la FERPA, la Ley de Informe Justo de Crédito (FCRA) y otros estatutos federales especificados
La excepción a la exención para organizaciones sin fines de lucro merece énfasis. Una organización de salud sin fines de lucro que procesa datos de salud del consumidor no puede invocar la exención general para organizaciones sin fines de lucro y eludir el cumplimiento de la CTDPA. La clasificación de controlador de datos de salud del consumidor prevalece sobre ella.
Los Cinco Derechos del Consumidor Bajo la CTDPA
Los residentes de Connecticut pueden ejercer cinco derechos enumerados frente a los controladores cubiertos según Conn. Gen. Stat. § 42-516(c):
- Derecho de acceso. Un consumidor puede confirmar si un controlador está procesando sus datos personales y solicitar una copia de esos datos en un formato que el consumidor pueda usar.
- Derecho de corrección. Un consumidor puede exigir que un controlador corrija datos personales inexactos, tomando en cuenta la naturaleza y el propósito del procesamiento.
- Derecho de eliminación. Un consumidor puede solicitar la eliminación de datos personales, incluidos los datos que el controlador recopiló sobre ese consumidor de fuentes de terceros, no solo los datos que el consumidor proporcionó directamente.
- Derecho de portabilidad. Un consumidor puede obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable que permita la transferencia a otro controlador o servicio.
- Derecho de exclusión. Un consumidor puede excluirse del procesamiento para tres fines específicos: la publicidad dirigida, la venta de datos personales, y la elaboración de perfiles que produzca un efecto jurídico o de importancia similar para el consumidor.
Los controladores deben responder a una solicitud de derechos dentro de los 45 días posteriores a su recepción. Pueden extender ese período por una ventana adicional de 45 días cuando sea razonablemente necesario, pero solo si notifican al consumidor dentro del período inicial de 45 días. El límite máximo del tiempo de respuesta con una extensión válida es, por lo tanto, de 90 días.
Los controladores que denieguen una solicitud deben informar al consumidor de la denegación y proporcionar una forma de apelar. Después de recibir una apelación, el controlador tiene 60 días para responder por escrito, explicando qué acciones tomó o se negó a tomar y las razones de ello. Si se deniega la apelación, el controlador también debe proporcionar al consumidor información o un mecanismo para comunicarse con el Fiscal General y presentar una queja.
Para conocer en detalle cómo los residentes de Connecticut pueden presentar solicitudes de acceso, corrección, eliminación y exclusión, consulte la página principal de Leyes de Privacidad de Datos de Connecticut.

Datos Sensibles y el Requisito de Consentimiento de Inclusión
Una de las características más protectoras de la CTDPA es su requisito de consentimiento afirmativo de inclusión para los datos personales sensibles. Antes de que un controlador pueda procesar cualquier categoría de datos sensibles, debe primero obtener el consentimiento afirmativo del consumidor. Se trata de un acuerdo previo y activo, no de una configuración predeterminada activada con un enlace de exclusión que los consumidores deben encontrar y hacer clic.
Las categorías de datos sensibles según Conn. Gen. Stat. § 42-515 incluyen:
- Datos personales que revelen el origen racial o étnico, creencias religiosas, condiciones o diagnósticos de salud mental o física, orientación sexual, ciudadanía o estatus migratorio
- Datos genéticos o biométricos procesados para identificar de manera única a una persona
- Datos de geolocalización precisa
- Datos de salud del consumidor, incluida la información sobre atención de afirmación de género y salud reproductiva
- Datos personales recopilados de un menor conocido
El estándar de inclusión para datos sensibles coloca a la CTDPA aproximadamente al mismo nivel que la VCDPA de Virginia y notablemente más estricto que la CCPA y la CPRA de California. California exige que las empresas proporcionen un enlace de "Limitar el Uso de Mi Información Personal Sensible" y respeten las solicitudes de exclusión, un modelo que por defecto permite el procesamiento a menos que el consumidor actúe. El modelo de Connecticut, por defecto, no permite el procesamiento hasta que el consumidor otorgue su consentimiento de forma activa.
En cuanto a los datos de menores, la CTDPA agrega un requisito adicional más allá de la inclusión general para datos sensibles. Los consumidores menores de 16 años requieren consentimiento afirmativo de inclusión antes de que sus datos personales puedan venderse o procesarse para publicidad dirigida, sin importar si los datos en cuestión caen dentro de una categoría sensible. Este estándar reforzado para la población menor de 16 años formaba parte de la PA 22-15 original y es anterior a las enmiendas adicionales de protección de menores que se analizan en la siguiente sección.
Señales de Exclusión Universal: Obligatorias Desde el 1 de Enero de 2025
El mandato de exclusión universal de la CTDPA se destaca como una de sus disposiciones más favorables al consumidor. Desde el 1 de enero de 2025, todas las empresas cubiertas por la CTDPA deben respetar las señales de preferencia de exclusión (OOPS, por sus siglas en inglés), como el Control de Privacidad Global (GPC), transmitidas a través del navegador o la extensión de navegador que protege la privacidad del consumidor, cuando dichas señales puedan identificar de manera precisa a un residente de Connecticut.
El GPC es un estándar técnico abierto compatible con navegadores como Firefox, Brave y DuckDuckGo, así como con extensiones de navegador. Cuando un residente de Connecticut activa el GPC en su navegador, toda empresa cubierta debe tratar la señal como una solicitud de exclusión vinculante tanto para la publicidad dirigida como para la venta de datos personales. Los controladores no pueden exigir que el consumidor cree una cuenta o proporcione información adicional antes de respetar la señal.
El comunicado de prensa del Fiscal General del 29 de enero de 2025 declaró sin rodeos: "Todas las empresas cubiertas por la CTDPA deben responder a la señal OOPS de un consumidor". El Fiscal General también aclaró que los controladores no pueden anular la señal simplemente porque el consumidor se haya inscrito previamente en un programa de lealtad o un acuerdo de descuento. Si un controlador determina que respetar una señal GPC entrará en conflicto con un beneficio existente de un programa de lealtad, puede notificar al consumidor sobre el conflicto y pedirle que confirme su elección de exclusión, pero el controlador no puede tratar la inscripción en el programa de lealtad como una renuncia previa que anule automáticamente la señal.
Este mandato coloca a Connecticut en un pequeño grupo de estados que han ido más allá de los mecanismos pasivos de exclusión para exigir infraestructura activa para señales a nivel de navegador. Las empresas que muestran enlaces de exclusión pero no han implementado el reconocimiento de GPC no están en cumplimiento.
Protección de Menores: Por Capas a Través de las Enmiendas de 2024 y 2025
Las protecciones de la CTDPA para menores se han construido en dos rondas legislativas distintas, cada una agregando obligaciones significativas para las empresas que atienden a usuarios más jóvenes en línea.
Ley Pública 23-56 (vigente desde el 1 de octubre de 2024). El SB 3 fue firmado en 2023 y entró en vigencia el 1 de octubre de 2024. Representa la primera ampliación importante de la capa de protección de menores de la CTDPA. Según la PA 23-56, un controlador que ofrece cualquier servicio, producto o función en línea a consumidores que sabe, o desconoce deliberadamente, que son menores debe:
- Ejercer un cuidado razonable para evitar cualquier riesgo elevado de daño a los menores derivado del servicio
- Realizar evaluaciones de protección de datos para cada uno de esos servicios o funciones antes de su implementación
- Abstenerse de utilizar funciones de diseño destinadas a sostener o aumentar la interacción de un menor con la plataforma, a menos que se haya obtenido el consentimiento de los padres
- Proporcionar una señal claramente visible y persistente a un menor cada vez que el controlador recopile datos de geolocalización precisa de este
El estándar de "desconoce deliberadamente" en la PA 23-56 es más amplio que el conocimiento real. Un controlador no puede evitar estas obligaciones simplemente alegando que no sabía que su servicio atraía a menores: si el diseño o la orientación del servicio es tal que un operador razonable sabría que hay menores presentes, las obligaciones se aplican.
Ley Pública 25-113 (firmada el 25 de junio de 2025; las enmiendas a la CTDPA entran en vigencia el 1 de julio de 2026). El SB 1295 amplió significativamente las protecciones de menores de la CTDPA e hizo otros cambios de gran alcance a la ley, la mayoría de los cuales entran en vigencia el 1 de julio de 2026. Las adiciones específicas para menores de la PA 25-113 incluyen: un requisito de que los propietarios de plataformas de redes sociales establezcan y mantengan un centro de seguridad en línea y adopten y hagan cumplir una política contra el ciberacoso; una definición más estricta de "riesgo elevado de daño a menores" que incluye expresamente los daños a la salud física y mental; y una configuración predeterminada en cualquier servicio en línea ofrecido a menores que bloquee a los adultos para que no envíen comunicaciones directas no solicitadas a los menores.
La PA 23-56 está plenamente vigente desde el 1 de octubre de 2024. Las disposiciones de la CTDPA de la PA 25-113 aún no están vigentes a mediados de 2026. Para conocer el alcance completo de los cambios de la PA 25-113 que entran en vigencia el 1 de julio de 2026, consulte la sección de Cambios Próximos más abajo.

Aplicación de la Ley: Exclusiva del Fiscal General, CUTPA, Vencimiento del Período de Subsanación, Hasta $5,000 por Infracción
La CTDPA es aplicada exclusivamente por el Fiscal General de Connecticut. Conn. Gen. Stat. § 42-524 establece que toda infracción de la CTDPA constituye una práctica comercial desleal según la Ley de Prácticas Comerciales Desleales de Connecticut (CUTPA), Conn. Gen. Stat. § 42-110b y siguientes. No existe un derecho de acción privada para los consumidores bajo la CTDPA; los residentes individuales de Connecticut no pueden entablar una demanda directamente contra una empresa por violar sus derechos bajo la CTDPA.
El mecanismo de aplicación de la CUTPA es importante para comprender la exposición a sanciones. La CUTPA es el estatuto general de protección al consumidor de Connecticut, y el conjunto de herramientas de aplicación del Fiscal General bajo esta ley es considerable. Según Conn. Gen. Stat. § 42-110o, las sanciones civiles de la CUTPA pueden llegar hasta $5,000 por infracción. Además de las sanciones, el Fiscal General puede buscar medidas cautelares, restitución a los consumidores afectados y recuperación de los ingresos obtenidos ilícitamente.
Vale la pena entender con precisión el período de subsanación que estuvo vigente durante los primeros 18 meses de la ley, porque ha cambiado. Desde el 1 de julio de 2023 hasta el 31 de diciembre de 2024, la CTDPA imponía un requisito obligatorio de subsanación: si el Fiscal General determinaba que una infracción podía subsanarse, estaba obligado a emitir un aviso escrito de infracción al controlador antes de iniciar cualquier acción de aplicación. El controlador entonces tenía 60 días para subsanar la infracción. Si el controlador subsanaba y entregaba una declaración escrita de cumplimiento dentro de ese plazo, no podía iniciarse ninguna acción de aplicación por esa infracción específica.
Ese período obligatorio de subsanación venció el 31 de diciembre de 2024. Después de esa fecha, el Fiscal General tiene la facultad discrecional de iniciar la aplicación directamente sin ofrecer primero una oportunidad de subsanación. El Fiscal General puede optar por emitir una advertencia o un aviso de subsanación, pero ya no está obligado a hacerlo. Esto representa una postura de aplicación notablemente más dura: las empresas que recibieron cartas de advertencia en 2023 y 2024, mientras el período obligatorio de subsanación estaba vigente, no deben suponer que la misma protección procesal se aplicará a cualquier infracción futura.
Para obtener una guía paso a paso sobre lo que las empresas deben hacer para lograr y documentar el cumplimiento, consulte la página principal de Leyes de Privacidad de Datos de Connecticut.
Cambios Próximos: Enmiendas de la PA 25-113 Vigentes el 1 de Julio de 2026
El gobernador Lamont firmó la Ley Pública 25-113 (SB 1295) el 25 de junio de 2025. Las enmiendas más significativas de la CTDPA en este estatuto entran en vigencia el 1 de julio de 2026. Las empresas sujetas a la CTDPA ahora tienen un plazo de cumplimiento para prepararse para estos cambios, que amplían sustancialmente el alcance de la ley.
Umbral de aplicabilidad reducido. El umbral principal baja de 100,000 consumidores de Connecticut a 35,000. Además, cualquier entidad que controle o procese los datos sensibles de un solo residente de Connecticut, o que venda datos personales en cualquier volumen, quedará cubierta sin importar el número de consumidores. Esto amplía drásticamente el número de empresas sujetas a la CTDPA.
Prohibición categórica para menores de 18 años que reemplaza la inclusión para menores de 16. El requisito actual de que los controladores obtengan consentimiento de inclusión antes de vender datos o procesarlos para publicidad dirigida para consumidores menores de 16 años será reemplazado por una prohibición categórica. Después del 1 de julio de 2026, ningún consentimiento podrá autorizar esas actividades para consumidores menores de 18 años. Los controladores no podrán usar una inclusión otorgada por los padres para habilitar la venta de datos o la publicidad dirigida para menores de entre 16 y 17 años.
Datos neuronales y categorías sensibles ampliadas. Las nuevas categorías de datos sensibles agregadas por la PA 25-113 incluyen datos neuronales, números de cuentas financieras con credenciales de acceso, números de identificación emitidos por el gobierno, estatus de discapacidad o tratamiento, y estatus transgénero o no binario. Estas requerirán el mismo consentimiento afirmativo de inclusión que actualmente se exige para los datos de salud, biométricos y de geolocalización.
Requisito de divulgación sobre el entrenamiento de LLM. Los controladores sujetos a la CTDPA deben actualizar sus avisos de privacidad dirigidos al consumidor para incluir una declaración clara y visible que revele si recopilan, usan o venden datos personales con el fin de entrenar modelos de lenguaje de gran escala (LLM). Esta obligación se aplica a todos los controladores cubiertos, sin importar si realmente participan en el entrenamiento de LLM.
Derechos adicionales del consumidor y evaluaciones de elaboración de perfiles. Los consumidores obtendrán el derecho de obtener una lista de los terceros que compraron sus datos personales y el derecho de acceder a las inferencias que un controlador haya derivado de sus datos. Se exigirán evaluaciones de impacto de elaboración de perfiles para ciertas actividades en el caso de actividades de procesamiento creadas a partir del 1 de agosto de 2026.
Ninguna de estas disposiciones está vigente hoy. Las empresas que operan bajo el marco actual de la CTDPA deben considerar el 1 de julio de 2026 como el plazo de cumplimiento para estas enmiendas.
CTDPA vs. CCPA: Diferencias Clave de un Vistazo
La CTDPA y la CCPA de California suelen compararse porque ambas otorgan a los consumidores los mismos cinco derechos y ambas usan un modelo de inclusión para datos sensibles. Pero tres características de la CTDPA son estructuralmente distintivas.
Umbral de ingresos. El umbral secundario de la CTDPA exige más del 25 por ciento de los ingresos brutos provenientes de la venta de datos, lo que lo hace considerablemente más fácil de cumplir que el umbral del 50 por ciento de la VCDPA de Virginia. Para una empresa con 25,000 consumidores de Connecticut, esta diferencia es toda la cuestión de la cobertura. Una empresa de análisis de datos que deriva el 30 por ciento de sus ingresos de la venta de datos personales está cubierta bajo la CTDPA; la misma empresa, vendiendo los mismos datos con el mismo número de consumidores, no estaría cubierta bajo la VCDPA.
Mandato de señal de exclusión universal. Desde el 1 de enero de 2025, la CTDPA exige que las empresas respeten las señales de preferencia de exclusión a nivel de navegador, como el GPC. California también impone un requisito similar bajo la CPRA, y ambos estados se encuentran entre los más exigentes del país en este aspecto. Muchas otras leyes estatales de privacidad no incluyen un mandato comparable, lo que significa que las empresas que operan en Connecticut deben construir una infraestructura técnica para el reconocimiento de señales en lugar de depender únicamente de un enlace de exclusión en el sitio web.
Vehículo de aplicación de la CUTPA. La CTDPA no establece su propia cifra de sanción en dólares ni crea su propio estatuto de aplicación. En cambio, toda infracción de la CTDPA se convierte en una infracción de la CUTPA, lo que le da al Fiscal General acceso al conjunto completo de herramientas de la CUTPA, incluidas la recuperación de ganancias y la restitución, además de las sanciones civiles por infracción. Esta estructura significa que el Fiscal General puede perseguir las infracciones de la CTDPA utilizando el marco procesal establecido de la CUTPA y puede buscar remedios que van más allá de lo que podría ofrecer un estatuto de sanciones de privacidad independiente. La cifra de $5,000 por infracción es el límite de sanción civil de la CUTPA, no una cifra escrita en la propia CTDPA.
Para una comparación más amplia entre estados que incluye a Virginia, Colorado, Texas y otros marcos estatales, consulte la página de comparación de leyes de privacidad estatales y la explicación sobre la CCPA de California.
Más Leyes de Connecticut
- Leyes de Grabación de Reuniones con IA de Connecticut
- Leyes de Pensión Alimenticia Conyugal de Connecticut
- Leyes de Empleo a Voluntad de Connecticut
- Leyes de Accidentes de Auto de Connecticut
- Leyes de Asientos de Auto para Niños de Connecticut
- Leyes de Custodia de Menores de Connecticut
- Leyes de Manutención Infantil de Connecticut
- Leyes de Matrimonio de Hecho de Connecticut
- Leyes sobre Deepfakes de Connecticut
- Leyes de Divorcio de Connecticut
- Leyes sobre Mordeduras de Perro de Connecticut
- Leyes de Emancipación de Connecticut
- Leyes de Eliminación de Antecedentes Penales de Connecticut
- Leyes de Choque y Fuga de Connecticut
- Leyes de Propietarios e Inquilinos de Connecticut
- Leyes del Limón de Connecticut
Guías Relacionadas
- Derechos del Consumidor bajo la CTDPA: Ejerza Sus Derechos de Privacidad en Connecticut
- Lista de Verificación de Cumplimiento de la CTDPA para Empresas (2026)
- Leyes de Privacidad de Datos de Connecticut: Guía de Derechos del Consumidor bajo la CTDPA (2026)
- Leyes de Privacidad Biométrica de Connecticut: Recolección, Consentimiento y Sanciones (2026)
- Tabla Comparativa de Leyes de Privacidad Estatales de EE. UU. (2026)
Preguntas frecuentes
¿Qué es la CTDPA?
La CTDPA, o Ley de Privacidad de Datos de Connecticut, es la ley integral de privacidad de datos del consumidor de Connecticut, codificada en Conn. Gen. Stat. §§ 42-515 a 42-525 (Capítulo 743jj). El gobernador Ned Lamont la firmó como Ley Pública 22-15 el 10 de mayo de 2022, y entró en vigencia el 1 de julio de 2023. Otorga a los residentes de Connecticut derechos sobre sus datos personales, exige que las empresas cubiertas sean transparentes sobre la recopilación y el uso de datos, exige consentimiento de inclusión para datos sensibles, y exige que las empresas respeten las señales de exclusión basadas en el navegador.
¿A quién se aplica la CTDPA?
Se aplica a las empresas con fines de lucro que procesan datos personales de 100,000 o más consumidores de Connecticut al año, O de 25,000 o más consumidores mientras derivan más del 25% de los ingresos brutos de la venta de datos personales. Los controladores de datos de salud del consumidor están cubiertos sin importar su tamaño. Las organizaciones sin fines de lucro generalmente están exentas, pero la exención no se aplica a las organizaciones que califican como controladores de datos de salud del consumidor. Las entidades cubiertas por HIPAA, las instituciones financieras sujetas a la GLBA, los organismos gubernamentales y las instituciones de educación superior también están exentas.
¿Qué derechos tienen los consumidores de Connecticut bajo la CTDPA?
Cinco derechos: el derecho de acceder y confirmar si se están procesando datos personales, el derecho de corregir datos inexactos, el derecho de eliminar datos personales (incluidos los datos recopilados de terceros), el derecho de recibir una copia portátil, y el derecho de excluirse de la publicidad dirigida, la venta de datos y la elaboración de perfiles con efectos significativos. Los controladores tienen 45 días para responder, con una posible extensión de 45 días con previo aviso. Los consumidores menores de 16 años requieren consentimiento de inclusión para la venta de datos y la publicidad dirigida.
¿Qué es el requisito de exclusión universal bajo la CTDPA?
Desde el 1 de enero de 2025, todas las empresas cubiertas por la CTDPA deben respetar las señales de preferencia de exclusión (OOPS), como el Control de Privacidad Global, enviadas a través del navegador de un consumidor. La señal actúa como una solicitud de exclusión vinculante para la publicidad dirigida y la venta de datos. Los controladores no pueden exigir la creación de una cuenta ni pasos adicionales para procesar la señal, y una inscripción previa en un programa de lealtad o descuento no la anula.
¿Cuál es la sanción por violar la CTDPA?
Las infracciones de la CTDPA son infracciones de la CUTPA. El Fiscal General puede buscar sanciones civiles de hasta $5,000 por infracción, además de medidas cautelares, restitución y recuperación de ganancias. Después del 31 de diciembre de 2024, el Fiscal General ya no está obligado a ofrecer un período de subsanación de 60 días antes de presentar una acción de aplicación; la subsanación ahora queda a discreción del Fiscal General.
¿Tiene la CTDPA un derecho de acción privada?
No. La aplicación es exclusiva del Fiscal General de Connecticut. Los consumidores individuales no pueden demandar directamente a las empresas por infracciones de la CTDPA. Si el Fiscal General deniega la apelación de un consumidor sobre la denegación de una solicitud de derechos, el controlador debe proporcionar información sobre cómo presentar una queja ante el Fiscal General.
¿Qué es el período de subsanación bajo la CTDPA?
Desde el 1 de julio de 2023 hasta el 31 de diciembre de 2024, el Fiscal General estaba obligado a otorgar a los controladores un aviso escrito de subsanación de 60 días antes de iniciar una acción de aplicación. Después del 31 de diciembre de 2024, ese período obligatorio de subsanación venció. El Fiscal General ahora tiene la facultad discrecional de iniciar la aplicación directamente sin ofrecer primero una oportunidad de subsanación.
¿Qué se considera dato sensible bajo la CTDPA?
Los datos sensibles incluyen: condiciones o diagnósticos de salud, origen racial o étnico, creencias religiosas, orientación sexual, ciudadanía o estatus migratorio, datos genéticos o biométricos procesados para identificar de manera única a una persona, datos de geolocalización precisa, datos de salud del consumidor (incluida la información sobre atención de afirmación de género y salud reproductiva), y datos personales recopilados de un menor conocido. Los controladores deben obtener consentimiento afirmativo de inclusión antes de procesar cualquiera de estas categorías.
¿Cómo protege la CTDPA a los menores?
Por capas. La ley original exigía consentimiento de inclusión para la venta de datos y la publicidad dirigida que involucrara a consumidores menores de 16 años. La Ley Pública 23-56 (vigente desde el 1 de octubre de 2024) agregó obligaciones de cuidado razonable, exigió evaluaciones de protección de datos para servicios ofrecidos a menores conocidos, prohibió funciones de diseño adictivo sin el consentimiento de los padres, y exigió señales visibles de geolocalización al rastrear a menores. La Ley Pública 25-113 (firmada el 25 de junio de 2025; las enmiendas a la CTDPA entran en vigencia el 1 de julio de 2026) agregará centros de seguridad de redes sociales, políticas contra el ciberacoso y bloqueos predeterminados a mensajes no solicitados de adultos hacia menores, y reemplazará el estándar de inclusión para menores de 16 años con una prohibición categórica para menores de 18 años sobre la venta de datos y la publicidad dirigida.
¿En qué se diferencia la CTDPA de la VCDPA de Virginia?
Se destacan dos diferencias principales. Primero, el umbral secundario de ingresos de la CTDPA es del 25% de los ingresos brutos provenientes de la venta de datos, frente al 50% de Virginia, una barrera más baja que incorpora a más empresas centradas en datos en el nivel de 25,000 consumidores. Segundo, la CTDPA exige el cumplimiento de señales de exclusión universal (GPC) desde el 1 de enero de 2025, un requisito que la VCDPA no incluye. Ambas leyes usan un modelo de aplicación exclusivo del Fiscal General y exigen consentimiento de inclusión para datos sensibles.
Fuentes y referencias
- Conn. Gen. Stat. § 42-515 y siguientes (Capítulo 743jj): Texto vigente de la CTDPA(cga.ct.gov)
- Ley Pública 22-15 (Sesión Ordinaria de 2022, SB 6): Promulgación original de la CTDPA(cga.ct.gov)
- Ley Pública 23-56 (Sesión Ordinaria de 2023, SB 3): Enmiendas sobre menores y datos de salud del consumidor(cga.ct.gov)
- Ley Pública 25-113 (Sesión Ordinaria de 2025, SB 1295): Seguridad en redes sociales y protecciones ampliadas para menores(cga.ct.gov)
- Fiscal General de CT: La Ley de Privacidad de Datos de Connecticut (página oficial del Fiscal General)(portal.ct.gov)
- Comunicado del Fiscal General de CT: El Fiscal General Tong Informa a los Consumidores de Connecticut Sobre los Próximos Derechos bajo la CTDPA (junio de 2023)(portal.ct.gov)
- Comunicado del Fiscal General de CT: Tong Informa a Consumidores y Empresas Sobre los Derechos y Requisitos de Exclusión (29 de enero de 2025)(portal.ct.gov)
- Comunicado del Fiscal General de CT: Día de la Privacidad de Datos 2025 (28 de enero de 2025)(portal.ct.gov)
- Fiscal General de CT: Informe Sobre la Ley de Privacidad de Datos de Connecticut (informe de aplicación 2024)(portal.ct.gov)
- Fiscal General de CT: Informe Actualizado Sobre la Ley de Privacidad de Datos de Connecticut (2026)(portal.ct.gov)
- Capítulo 743jj: Privacidad y Seguridad de Datos (suplemento de 2024, posterior a la PA 23-56)(cga.ct.gov)