Leyes de Registro de Corredores de Datos en EE. UU. y la Ley Delete Act

A partir de 2026, cuatro estados de EE. UU. exigen que los corredores de datos se registren ante una agencia estatal: California (ante la Agencia de Protección de la Privacidad de California), Texas (Secretaría de Estado), Oregon (Departamento de Servicios al Consumidor y Empresas) y Vermont (Secretaría de Estado). El desarrollo más destacado es la Delete Act de California (SB 362 de 2023), que se basa en el registro existente de corredores de datos de California para crear una única herramienta de eliminación a nivel estatal, de modo que un consumidor de California pueda pedir a todos los corredores registrados que eliminen sus datos en una sola solicitud.
Esa herramienta es la Plataforma de Solicitud de Eliminación y Exclusión, o DROP (por sus siglas en inglés), administrada por la Agencia de Protección de la Privacidad de California. A partir de 2026, la DROP está activa para los consumidores, y los corredores de datos registrados deben comenzar a atender las solicitudes de eliminación enviadas a través de ella más adelante en el año, convirtiendo lo que antes era una tarea corredor por corredor en una sola exclusión universal.
Alcance jurisdiccional: Esto cubre las leyes estatales de registro de corredores de datos en EE. UU. (California, Texas, Oregon, Vermont) y la Delete Act de California. Es información legal general, no asesoría legal.
Qué Es un Corredor de Datos
Un corredor de datos es, en términos simples, una empresa que construye y vende perfiles de personas con las que nunca ha tratado directamente. El hilo estatutario recurrente en los cuatro estados de registro es la ausencia de una relación directa: el corredor recopila información personal sobre los consumidores y luego la vende o la licencia a terceros, aunque esos consumidores no sean sus clientes.
Vermont, que redactó la primera ley de este tipo, define a un corredor de datos en 9 V.S.A. cap. 62 como una empresa o unidad de una empresa que recopila y vende o licencia a sabiendas a terceros la información personal intermediada de un consumidor con quien la empresa no tiene una relación directa. California usa casi la misma formulación. Según la sección 1798.99.80 del Código Civil, un corredor de datos es una empresa que recopila y vende a sabiendas a terceros la información personal de un consumidor con quien la empresa no tiene una relación directa.
Oregon plantea la misma idea en torno a los datos intermediados. Según ORS 646A.593, un corredor de datos es una empresa, o parte de una empresa, que recopila y vende o licencia datos personales intermediados sobre un residente con quien la empresa no tiene una relación directa. Los "datos personales intermediados" incluyen elementos como el nombre, la dirección, la fecha o el lugar de nacimiento, el Seguro Social u otro identificador gubernamental, e información biométrica cuando están organizados para su venta o licenciamiento.
Texas adopta un enfoque diferente. Según la sección 509.001 del Código de Negocios y Comercio, un corredor de datos es una entidad comercial cuya principal fuente de ingresos proviene de recopilar, procesar o transferir datos personales que la entidad no recopiló directamente de la persona. Esta prueba de ingresos significa que un corredor de datos de Texas se define menos por el lenguaje de relación directa y más por cuán central es la reventa de datos para su modelo de negocio.
El efecto práctico es el mismo en todos los estados. Los sitios de búsqueda de personas, los compiladores de listas, los proveedores de datos de marketing, y muchas empresas de tecnología publicitaria y de resolución de identidad tienden a caer dentro de estas definiciones, mientras que un minorista que vende su propia lista de clientes generalmente no lo hace, porque ese minorista tiene una relación directa con las personas de la lista.
Los Cuatro Estados que Exigen el Registro de Corredores de Datos
A partir de 2026, existen leyes de registro en Vermont, California, Oregon y Texas. Cada una exige que los corredores se identifiquen ante una agencia estatal, paguen una tarifa anual, y proporcionen información básica para que los consumidores y los reguladores puedan encontrarlos. La siguiente tabla resume los cuatro estados, seguida de una subsección separada para cada uno.
| Estado | Estatuto | Agencia | Vigencia | Plazo de registro | Tarifa / sanción |
|---|---|---|---|---|---|
| Vermont | 9 V.S.A. cap. 62 (Act 171 de 2018) | Secretaría de Estado | 2018 / 2019 | Anual, del 1 al 31 de enero | Tarifa de $100; $50/día, máximo $10,000/año |
| California | Código Civil 1798.99.80 y siguientes (AB 1202; SB 362 Delete Act) | Agencia de Protección de la Privacidad | 2020; DROP activa el 1 de enero de 2026 | A más tardar el 31 de enero | Tarifa fijada por la agencia; $200/día por no registrarse; $200/solicitud/día bajo la Delete Act |
| Texas | Código de Negocios y Comercio, cap. 509 (SB 2105 de 2023) | Secretaría de Estado | 1 de septiembre de 2023 (se aplica a partir del 1 de diciembre de 2023) | Anual | Tarifa de $300; mínimo $100/día más tarifas, máximo $10,000 por cada 12 meses |
| Oregon | ORS 646A.593 (HB 2052 de 2023) | Departamento de Servicios al Consumidor y Empresas | 1 de enero de 2024 | Anual | Tarifa de $600; hasta $500/día, máximo $10,000/año |
Vermont: la Primera Ley de Corredores de Datos (9 V.S.A. cap. 62)
Vermont promulgó la primera ley de registro de corredores de datos del país como la Act 171 de 2018. Las disposiciones sobre corredores de datos están codificadas en el capítulo 62 de 9 V.S.A., con el requisito de registro anual en la sección 2446. Los corredores se registran ante la Secretaría de Estado de Vermont anualmente, entre el 1 y el 31 de enero, por cada año en que la empresa cumplió con la definición de corredor de datos.
La tarifa de registro es de $100. Un corredor que no se registre es responsable ante el Estado de una sanción civil de $50 por cada día que no esté registrado, sin exceder los $10,000 por año, más una cantidad equivalente a las tarifas adeudadas durante el período en que no se registró. La aplicación de la ley recae en el Fiscal General de Vermont, y no registrarse puede tratarse como un acto desleal y engañoso bajo la ley de protección al consumidor de Vermont. Vermont también exige que los corredores registrados proporcionen ciertas divulgaciones, incluida información sobre cómo los consumidores pueden excluirse cuando el corredor ofrece esa opción.
California: el Registro de la AB 1202 más la Delete Act (Código Civil 1798.99.80 y siguientes)
California creó su registro de corredores de datos mediante la AB 1202 de 2019, codificada en la sección 1798.99.80 del Código Civil y siguientes. Según la sección 1798.99.82, un corredor de datos debe registrarse ante el estado a más tardar el 31 de enero siguiente a cada año en que cumplió con la definición, y pagar una tarifa de registro. El registro fue administrado originalmente por el Fiscal General y ahora está a cargo de la Agencia de Protección de la Privacidad de California. Un corredor que no se registre es responsable de una sanción civil de $100 por cada día que no se registre, además de las tarifas que debió haber pagado.
California luego fue mucho más lejos que cualquier otro estado con la Delete Act, SB 362 de 2023, que se cubre en detalle en la siguiente sección. La Delete Act agregó un mecanismo de eliminación universal sobre el registro existente y traspasó la supervisión del registro a la Agencia de Protección de la Privacidad de California. A partir de 2026, un corredor de datos de California debe tanto aparecer en el registro como estar preparado para atender las solicitudes de eliminación enrutadas a través de la plataforma central del estado.
Texas: Registro ante la Secretaría de Estado (Código de Negocios y Comercio, cap. 509)
Texas adoptó su ley de corredores de datos como SB 2105 de 2023, codificada en el capítulo 509 del Código de Negocios y Comercio. La ley entró en vigencia el 1 de septiembre de 2023, y se aplica a la recopilación, el procesamiento o la transferencia de datos personales por parte de un corredor de datos a partir del 1 de diciembre de 2023. Los corredores se registran anualmente ante la Secretaría de Estado de Texas, y el primer período de registro tuvo un plazo a principios de 2024.
La tarifa de registro es de $300. La sanción civil por incumplimiento debe ser al menos el total de $100 por cada día que la entidad esté en infracción, más las tarifas de registro impagas por cada año que no se registró, pero el total impuesto a un solo corredor no puede exceder los $10,000 en ningún período de 12 meses. El estatuto también impone deberes de seguridad de datos a los corredores, separados de la obligación de registro.
Oregon: Registro ante el DCBS (ORS 646A.593)
Oregon se convirtió en el cuarto estado de registro mediante la HB 2052 de 2023, codificada en ORS 646A.593. El requisito entró en vigencia el 1 de enero de 2024. Los corredores se registran ante el Departamento de Servicios al Consumidor y Empresas de Oregon, que administra el registro a través de su División de Regulación Financiera.
La tarifa de registro es de $600, con una renovación de $600. Como parte del registro, un corredor debe describir los métodos que los consumidores pueden usar para excluirse de la recopilación, venta o licenciamiento de sus datos personales. El Departamento puede imponer una sanción civil de hasta $500 por infracción, y por una infracción continua, $500 por cada día que continúe, con un límite total de sanciones de $10,000 en cualquier año calendario.

La Delete Act de California y la Herramienta de Eliminación Universal DROP
La Delete Act, SB 362 de 2023, es la pieza central de la regulación de corredores de datos en EE. UU. a partir de 2026. Antes de ella, excluirse de los corredores de datos significaba encontrar cada corredor, ubicar su página de exclusión, y presentar una solicitud separada, a menudo decenas de veces, sin ninguna garantía de que los datos permanecieran eliminados. La Delete Act reemplaza eso con un único punto de contacto.
La ley ordena a la Agencia de Protección de la Privacidad de California que construya y opere la Plataforma de Solicitud de Eliminación y Exclusión, conocida como DROP. A través de la DROP, un consumidor de California puede hacer una sola solicitud para eliminar la información personal que posea cada corredor de datos registrado ante el estado. Los corredores no eligen qué solicitudes atender; deben revisar la plataforma y procesar las solicitudes de eliminación que coincidan con sus registros.
El cronograma está establecido por estatuto y reglamento de la agencia. A partir de 2026, la DROP está activa: los consumidores pueden comenzar a presentar solicitudes de eliminación desde el 1 de enero de 2026. Los corredores de datos registrados deben comenzar a procesar esas solicitudes de la DROP el 1 de agosto de 2026. Desde esa fecha, un corredor debe acceder a la DROP al menos una vez cada 45 días, eliminar la información personal de cualquier consumidor cuya solicitud coincida con los registros del corredor, a menos que se aplique una exención, e indicar a sus proveedores de servicios y contratistas que hagan lo mismo. Los corredores deben reportar el estado de cada solicitud en la DROP, generalmente dentro de los 45 días posteriores a su recepción.
El poder de aplicación es considerable. Según la sección 1798.99.86 del Código Civil, un corredor de datos registrado que no cumpla es responsable de multas administrativas de $200 por cada solicitud de eliminación por cada día que el corredor no elimine la información según lo requerido. Debido a que una sola solicitud de un consumidor puede quedar sin atender día tras día, y a que la plataforma maneja solicitudes a gran escala, esa estructura por solicitud y por día puede acumularse rápidamente. La Delete Act también incorpora auditorías independientes de los corredores en un ciclo recurrente, añadiendo un requisito de verificación de cumplimiento además del registro y la eliminación.
La DROP importa más allá de California. Es el primer sistema de eliminación administrado por el gobierno y neutral respecto a los corredores en el país, y otorga a los residentes de California una capacidad de negociación que los consumidores de otros estados aún no tienen. Por lo tanto, las empresas que se registran en California deben diseñar sus sistemas para recibir y actuar sobre las solicitudes de eliminación centralizadas, no solo mantener sus propias páginas de exclusión.

En Qué Se Diferencia el Registro de las Leyes Integrales de Privacidad
Es fácil confundir el registro de corredores de datos con la ola más amplia de leyes estatales de privacidad, pero son distintos, y la diferencia importa. Una ley integral de privacidad del consumidor, como la CCPA de California o las leyes de privacidad de estados como Texas, Oregon, Virginia y Colorado, regula cómo casi cualquier empresa cubierta maneja los datos personales. Otorga a los consumidores derechos de acceso, corrección, eliminación y exclusión, e impone deberes como la minimización de datos, la limitación de la finalidad y el respeto de las señales de exclusión universal.
Una ley de registro de corredores de datos es más estrecha y aditiva. Se dirige a una categoría específica de empresa, el corredor sin relación directa con las personas que perfila, y su requisito central es un paso de transparencia: identificarse ante el estado, pagar una tarifa y aparecer en una lista pública. El registro, por sí solo, no crea el conjunto completo de derechos del consumidor que crea una ley integral. Principalmente hace visibles a los corredores.
Por eso algunos estados se superponen. Texas y Oregon tienen tanto una ley integral de privacidad como un requisito separado de registro de corredores de datos; un corredor de Texas puede estar sujeto simultáneamente a la integral Texas Data Privacy and Security Act y al registro del Capítulo 509. California de manera similar mantiene el amplio marco de la CCPA junto a su registro y la Delete Act. Vermont, en cambio, tuvo un registro de corredores de datos durante años antes de promulgar una ley integral de privacidad, lo que demuestra que el registro puede existir por sí solo.
Para los consumidores, la conclusión es que las leyes de registro son la razón por la que existe una lista pública y consultable de corredores en estos cuatro estados, y en California, la razón por la que ahora existe una herramienta de eliminación universal. Los derechos sustantivos para eliminar o limitar los datos aún provienen en gran medida de las leyes integrales y, en California, de la Delete Act construida sobre el registro.
Qué Pueden Hacer los Consumidores
A partir de 2026, la herramienta más poderosa para el consumidor es la DROP de California. Un residente de California puede presentar una única solicitud de eliminación a través de la plataforma estatal y alcanzar a todos los corredores registrados ante la Agencia de Protección de la Privacidad de California, en lugar de perseguir a cada empresa individualmente. Los residentes de otros estados aún no tienen una herramienta universal equivalente, pero los registros públicos igual ayudan.
En los cuatro estados de registro, el registro es público, por lo que un consumidor puede consultar qué corredores se han registrado y encontrar la información de contacto y de exclusión que cada corredor está obligado a proporcionar. Tanto Vermont como Oregon exigen que los corredores describan cómo pueden excluirse los consumidores, y esa información aparece junto con el registro. A partir de ahí, un consumidor puede usar el proceso de exclusión propio de cada corredor, y en California puede confiar en la DROP en su lugar.
Más allá de los estados de registro, los consumidores pueden seguir ejerciendo los derechos de eliminación y exclusión según la ley integral de privacidad que se aplique donde vivan, y pueden presentar solicitudes individuales de exclusión directamente a los corredores. Nuestra guía complementaria sobre cómo excluirse de los corredores de datos explica el proceso paso a paso, incluida la ruta corredor por corredor que sigue siendo la única opción en la mayor parte del país. Debido a que los corredores vuelven a recopilar datos continuamente, excluirse rara vez es un trámite único; generalmente es necesario un seguimiento periódico, lo cual es parte de la razón por la que el modelo recurrente y basado en plataforma de California es tan significativo.
Guías Relacionadas
Preguntas frecuentes
¿Qué estados exigen que los corredores de datos se registren?
A partir de 2026, cuatro estados exigen que los corredores de datos se registren ante una agencia estatal: California (ante la Agencia de Protección de la Privacidad de California, según el Código Civil 1798.99.80 y siguientes), Texas (Secretaría de Estado, según el Capítulo 509 del Código de Negocios y Comercio), Oregon (Departamento de Servicios al Consumidor y Empresas, según ORS 646A.593), y Vermont (Secretaría de Estado, según el Capítulo 62 de 9 V.S.A.). Muchos otros estados regulan a los corredores de datos a través de leyes integrales de privacidad, pero no tienen un requisito de registro separado.
¿Qué es la Delete Act de California?
La Delete Act de California es la SB 362 de 2023. Se basa en el registro existente de corredores de datos de California para crear la Plataforma de Solicitud de Eliminación y Exclusión, o DROP, una herramienta única administrada por el estado a través de la cual un consumidor de California puede solicitar la eliminación de su información personal de todos los corredores de datos registrados a la vez. También traspasó la supervisión del registro a la Agencia de Protección de la Privacidad de California y agregó auditorías independientes recurrentes de los corredores.
¿Qué es la DROP y cuándo pueden usarla los consumidores?
La DROP es la Plataforma de Solicitud de Eliminación y Exclusión construida por la Agencia de Protección de la Privacidad de California bajo la Delete Act. A partir de 2026, los consumidores pueden comenzar a presentar solicitudes de eliminación a través de la DROP desde el 1 de enero de 2026. Los corredores de datos registrados deben comenzar a procesar esas solicitudes el 1 de agosto de 2026, y deben revisar la plataforma al menos cada 45 días a partir de entonces.
¿Cuál fue la primera ley de corredores de datos de EE. UU.?
Vermont promulgó la primera ley de registro de corredores de datos de EE. UU. como la Act 171 de 2018, codificada en el Capítulo 62 de 9 V.S.A. Exige que los corredores de datos se registren anualmente ante la Secretaría de Estado de Vermont entre el 1 y el 31 de enero, paguen una tarifa de $100, y proporcionen ciertas divulgaciones. La definición de corredor de datos basada en la relación directa de Vermont se convirtió en un modelo que California y Oregon siguieron en gran medida.
¿Cuánto cuesta el registro de corredores de datos y cuáles son las sanciones?
Las tarifas y sanciones varían según el estado. Vermont cobra $100 con una sanción de $50 por día hasta $10,000 al año. California cobra una tarifa fijada por la agencia con una sanción de $200 por día por no registrarse, más una multa de $200 por solicitud de eliminación por día bajo la Delete Act. Texas cobra $300 con sanciones de al menos $100 por día más las tarifas impagas, con un límite de $10,000 en cualquier período de 12 meses. Oregon cobra $600 con sanciones de hasta $500 por día, con un límite de $10,000 por año calendario.
¿En qué se diferencia una ley de registro de corredores de datos de una ley integral de privacidad?
Una ley integral de privacidad, como la CCPA, regula cómo casi cualquier empresa cubierta maneja los datos personales y otorga a los consumidores amplios derechos de acceso, eliminación y exclusión. Una ley de registro de corredores de datos es más estrecha: se dirige a las empresas que perfilan a personas con las que no tienen relación directa y principalmente exige que esos corredores se identifiquen ante una agencia estatal, paguen una tarifa y aparezcan en una lista pública. Una empresa puede estar sujeta a ambas a la vez, como ocurre en Texas, Oregon y California.
¿La Delete Act de California ayuda a los consumidores fuera de California?
No directamente. La DROP está disponible para los residentes de California, y solo los corredores de datos registrados en California deben atender las solicitudes hechas a través de ella. Los consumidores de otros estados aún no tienen una herramienta de eliminación universal equivalente a partir de 2026. Aún pueden consultar los registros de Oregon, Texas y Vermont, usar el proceso de exclusión propio de cada corredor, y ejercer los derechos de eliminación según la ley integral de privacidad que se aplique donde vivan.
¿Qué es un corredor de datos bajo estas leyes?
En Vermont, California y Oregon, un corredor de datos es generalmente una empresa que recopila y vende o licencia a sabiendas a terceros la información personal de consumidores con quienes no tiene una relación directa. Texas usa una prueba basada en ingresos, definiendo a un corredor de datos como una empresa cuya principal fuente de ingresos proviene de recopilar, procesar o transferir datos personales que no recopiló directamente de la persona. Los sitios de búsqueda de personas, los compiladores de listas, y muchos proveedores de datos de marketing típicamente califican.
Fuentes y referencias
- Agencia de Protección de la Privacidad de California: Registro de Corredores de Datos(cppa.ca.gov).gov
- Código Civil de California 1798.99.80 y siguientes: Registro de Corredores de Datos (AB 1202)(leginfo.legislature.ca.gov).gov
- SB 362 de California (2023): la Delete Act(leginfo.legislature.ca.gov).gov
- CPPA: Requisitos de la Plataforma de Solicitud de Eliminación y Exclusión (DROP)(cppa.ca.gov).gov
- Código de Negocios y Comercio de Texas, Capítulo 509: Corredores de Datos(statutes.capitol.texas.gov).gov
- SB 2105 de Texas (88.ª Legislatura): Ley de Corredores de Datos(capitol.texas.gov).gov
- Estatutos Revisados de Oregon 646A.593: Registro de Corredores de Datos(oregonlegislature.gov).gov
- División de Regulación Financiera del DCBS de Oregon: Registro de Corredores de Datos(dfr.oregon.gov).gov
- 9 V.S.A. de Vermont, Capítulo 62: Protección de la Información Personal (Corredores de Datos)(legislature.vermont.gov).gov
- Act 171 de Vermont de 2018: Corredores de Datos y Protección al Consumidor (Según Promulgada)(legislature.vermont.gov).gov