Oregon
Leyes de Privacidad de Datos de Oregón: Guía de Derechos del Consumidor bajo la OCPA (2026)

La Ley de Privacidad del Consumidor de Oregón (Oregon Consumer Privacy Act, OCPA), codificada en ORS 646A.570 a 646A.589, entró en vigor el 1 de julio de 2024, otorgando a los residentes de Oregón amplios derechos sobre sus datos personales. Oregón se destaca entre las leyes de privacidad estatales por cubrir a las organizaciones sin fines de lucro, exigir la divulgación de los terceros específicos que recibieron los datos de un consumidor, y ser el único estado que incluye la condición de persona transgénero o no binaria y la condición de víctima de un delito en su definición de datos sensibles. El Fiscal General tiene autoridad exclusiva de aplicación, con sanciones que alcanzan los $7,500 por consumidor afectado, y el período de subsanación de 30 días expiró el 1 de enero de 2026.
Esta guía cubre las leyes de privacidad de datos de Oregón en 2026, incluidos los derechos del consumidor de la OCPA, las obligaciones de las empresas, el historial de aplicación, los requisitos de notificación de violaciones de datos, las reglas de registro de corredores de datos, el marco federal superpuesto y las actualizaciones legislativas recientes.
Quién Debe Cumplir con la OCPA
La OCPA se aplica a cualquier persona o entidad que realice negocios en Oregón o proporcione productos o servicios a residentes de Oregón y cumpla con alguno de dos umbrales de procesamiento durante un año calendario:
- Controla o procesa datos personales de 100,000 o más consumidores de Oregón (excluyendo los datos procesados únicamente para completar una transacción de pago), O
- Controla o procesa datos personales de 25,000 o más consumidores de Oregón mientras obtiene el 25% o más de sus ingresos brutos anuales de la venta de datos personales
Sin Umbral de Ingresos
A diferencia de muchas otras leyes de privacidad estatales, Oregón no incluye un umbral inicial de ingresos como parte de sus criterios de aplicabilidad. Estados como California establecen sus activadores de leyes de privacidad en $25 millones de ingresos anuales. Oregón omite esto por completo, lo que significa que incluso las empresas y organizaciones más pequeñas que manejan grandes volúmenes de datos de consumidores de Oregón deben cumplir con la OCPA.
Las Organizaciones sin Fines de Lucro Están Cubiertas
Oregón es uno de los pocos estados que incluye a las organizaciones sin fines de lucro dentro del alcance de su ley de privacidad del consumidor. Después del 1 de julio de 2025, las organizaciones sin fines de lucro no reciben una exención general a nivel de entidad. Las únicas exenciones para organizaciones sin fines de lucro están definidas de manera limitada: (1) las organizaciones sin fines de lucro establecidas para detectar y prevenir el fraude de seguros, y (2) la actividad no comercial de las organizaciones sin fines de lucro que proporcionan programación a redes de radio o televisión.
El DOJ de Oregón ha publicado preguntas frecuentes separadas para organizaciones sin fines de lucro que explican sus obligaciones bajo la OCPA.
Exenciones de Entidades y Datos
La OCPA no se aplica a las agencias del gobierno estatal, ciertos datos financieros ya regulados bajo la Ley Gramm-Leach-Bliley (GLBA), la información de salud protegida bajo HIPAA, los registros educativos cubiertos por FERPA, y los datos regulados bajo la Ley de Informe Justo de Crédito (FCRA) o la Ley de Protección de la Privacidad del Conductor (DPPA). Sin embargo, estas son exenciones a nivel de datos, no exenciones a nivel de entidad. Un hospital o banco puede aún necesitar cumplir con la OCPA para los datos del consumidor que quedan fuera de esos marcos federales, como los datos de marketing o el análisis de sitios web.
Derechos del Consumidor Bajo la OCPA
La OCPA otorga a los residentes de Oregón seis derechos fundamentales de privacidad. Las preguntas frecuentes para consumidores del Departamento de Justicia de Oregón describen estos derechos como confirmación, acceso, corrección, eliminación, portabilidad y exclusión.
Derecho a Saber (Confirmar y Acceder)
Los consumidores pueden confirmar si un controlador está procesando sus datos personales y conocer qué categorías de datos se están recolectando, los propósitos del procesamiento, y las categorías de terceros con quienes se comparten los datos. Los consumidores también pueden obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable.
Derecho a Corregir
Los consumidores pueden solicitar que un controlador corrija inexactitudes en sus datos personales. El controlador debe hacer esfuerzos razonables para corregir los datos según la naturaleza de los datos personales y el propósito para el cual se procesan.
Derecho a Eliminar
Los consumidores pueden solicitar la eliminación de sus datos personales mantenidos por un controlador. El reporte de un año de aplicación del DOJ de Oregón identificó el derecho a eliminar como el derecho más frecuentemente solicitado y con mayor frecuencia denegado durante el primer año de aplicación.
Derecho a Excluirse (Opt Out)
Los consumidores pueden excluirse del procesamiento de sus datos personales para tres propósitos:
- Publicidad dirigida
- Venta de datos personales
- Elaboración de perfiles que produzcan efectos legales o similarmente significativos
Derecho a una Lista de Terceros Específicos
Esta es una de las disposiciones más distintivas de la OCPA y una que ninguna otra ley de privacidad estatal replica con esta fuerza. Los consumidores pueden solicitar una lista de las entidades específicas de terceros a las que un controlador ha divulgado sus datos personales. La mayoría de las demás leyes de privacidad estatales solo exigen que las empresas divulguen categorías de destinatarios. Oregón exige los nombres reales de entidades específicas, dando a los consumidores la capacidad de rastrear sus datos aguas abajo y ejercer sus derechos directamente con esos terceros.
Cronogramas de Respuesta y Apelaciones
Los controladores deben responder a las solicitudes de derechos del consumidor dentro de 45 días desde su recepción. Este período puede extenderse por 45 días adicionales cuando sea razonablemente necesario, siempre que el controlador informe al consumidor sobre la demora y su razón.
Si un controlador deniega una solicitud, debe explicar la justificación y proporcionar instrucciones para apelar la decisión. El controlador debe responder a la apelación dentro de 45 días. Si la apelación también es denegada, el controlador debe proporcionar al consumidor información sobre cómo presentar una queja ante el Fiscal General de Oregón.
Datos Sensibles y Categorías Especiales
La OCPA define los "datos sensibles" de manera amplia y exige consentimiento previo (opt-in) antes de que un controlador pueda procesarlos. La definición de datos sensibles de Oregón bajo ORS 646A.570 es notablemente más amplia que la de la mayoría de las demás leyes de privacidad estatales. Los datos sensibles incluyen:

- Origen racial o étnico
- Creencias religiosas
- Diagnóstico o condiciones de salud
- Orientación sexual o vida sexual
- Ciudadanía o estatus migratorio
- Datos genéticos
- Datos biométricos utilizados para identificar a una persona (huellas dactilares, escaneos de retina, plantillas de reconocimiento facial)
- Datos personales de un menor conocido de menos de 13 años
- Datos de geolocalización precisa (dentro de 1,750 pies)
- Condición de persona transgénero o no binaria
- Condición de víctima de un delito
Las últimas dos categorías son exclusivas de Oregón. Ninguna otra ley integral de privacidad estatal promulgada a mayo de 2026 incluye explícitamente la condición de persona transgénero o no binaria, o la condición de víctima de un delito, como categorías de datos sensibles. Las empresas que operan en Oregón deben obtener consentimiento previo (opt-in) antes de recolectar, procesar o compartir datos que revelen cualquiera de estas condiciones.
Protecciones de Datos de Menores
La OCPA proporciona protecciones reforzadas para los datos de menores. Un padre o tutor legal puede ejercer los derechos de privacidad en nombre de un menor de 13 años.
Conforme al HB 2008 (2025), Oregón fortaleció aún más estas protecciones:
- Se prohíbe la venta de datos de menores. Los controladores no pueden vender datos personales si tienen conocimiento real o ignoran deliberadamente que el consumidor es menor de 16 años.
- Se restringe el seguimiento de geolocalización de menores. Se prohíbe la venta de datos que identifiquen con precisión la ubicación actual o pasada de un consumidor dentro de un radio de 1,750 pies si el consumidor es menor de 16 años.
- Se restringe la elaboración de perfiles de menores. Los controladores no pueden procesar ni elaborar perfiles de un consumidor si saben o ignoran deliberadamente que el consumidor es menor de 16 años.
Estas protecciones para menores van más allá de COPPA, que se aplica únicamente a los niños menores de 13 años. Las protecciones de Oregón cubren a los consumidores menores de 16 años.
Obligaciones de las Empresas
Requisitos de Aviso de Privacidad
Los controladores deben publicar un aviso de privacidad claro y accesible que incluya:
- Las categorías de datos personales procesados
- Los propósitos del procesamiento de datos personales
- Cómo los consumidores pueden ejercer sus derechos
- Las categorías de datos personales compartidos con terceros
- Las categorías de terceros con quienes se comparten los datos
- Una descripción de cualquier procesamiento para publicidad dirigida, elaboración de perfiles o venta de datos personales, junto con un procedimiento para excluirse
Conforme al HB 2008 (2025), los controladores ahora también deben especificar los propósitos expresos para los cuales recolectan y procesan datos personales, y limitar la recolección únicamente a los datos que sean adecuados, relevantes y razonablemente necesarios para esos propósitos declarados.
Minimización de Datos
La OCPA exige que los controladores limiten la recolección de datos personales a lo que sea adecuado, relevante y razonablemente necesario en relación con los propósitos para los cuales se procesan los datos. Las empresas no pueden recolectar datos de manera especulativa para un uso futuro potencial.
Evaluaciones de Protección de Datos
Los controladores deben realizar y documentar evaluaciones de protección de datos antes de realizar actividades de procesamiento que presenten un riesgo elevado de daño para los consumidores. Estas evaluaciones son necesarias para:
- Procesar datos personales para publicidad dirigida
- Vender datos personales
- Procesar datos personales para la elaboración de perfiles cuando exista un riesgo razonablemente previsible de daño
- Procesar datos sensibles
Las evaluaciones deben conservarse en archivo durante al menos cinco años. El DOJ de Oregón ha publicado pautas detalladas y ha señalado que las evaluaciones realizadas para cumplir con otras leyes de privacidad estatales pueden satisfacer los requisitos de la OCPA, siempre que sean razonablemente similares en alcance.
Contratos con Procesadores
Cuando un controlador contrata a un procesador para manejar datos personales en su nombre, la relación debe regirse por un contrato que defina claramente las funciones, responsabilidades e instrucciones de procesamiento de datos. Los procesadores deben ayudar a los controladores a cumplir con sus obligaciones bajo la OCPA, incluida la respuesta a las solicitudes de derechos del consumidor.
Salvaguardas de Seguridad
Los controladores deben implementar y mantener salvaguardas administrativas, técnicas y físicas razonables para proteger la confidencialidad, integridad y accesibilidad de los datos personales. Conforme al HB 2008 (2025), esta obligación ahora está explícitamente codificada dentro de la propia OCPA.
Exclusión Universal y Prohibición de Venta de Geolocalización
A partir del 1 de enero de 2026, los controladores deben reconocer y respetar los Mecanismos Universales de Exclusión (UOOM, por sus siglas en inglés). El ejemplo más ampliamente adoptado es el Control de Privacidad Global (GPC), una señal basada en el navegador que comunica automáticamente las preferencias de exclusión de un consumidor a cada sitio web que visita.
Cuando un controlador detecta una señal de GPC u otro UOOM reconocido, debe tratarla como una solicitud válida de exclusión de la venta de datos personales y de la publicidad dirigida. Los controladores deben respetar estas solicitudes dentro de 15 días.
Prohibición de Venta de Geolocalización para Todos los Consumidores
También a partir del 1 de enero de 2026, la OCPA prohíbe la venta de datos de geolocalización precisa para todos los consumidores de Oregón, independientemente de su edad. Esta prohibición se aplica a los datos que identifican con precisión la ubicación actual o pasada de un consumidor dentro de un radio de 1,750 pies. A diferencia de la disposición sobre datos de menores, que depende de la edad, esta prohibición se aplica a todos los consumidores de Oregón cubiertos por la OCPA.
Aplicación y Sanciones
Aplicación por el Fiscal General
El Fiscal General de Oregón tiene autoridad exclusiva de aplicación sobre la OCPA. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden demandar directamente a las empresas por violaciones de la OCPA. En cambio, los consumidores presentan quejas ante la División de Protección al Consumidor del DOJ de Oregón.
El Período de Subsanación Ha Expirado
Desde el 1 de julio de 2024 hasta el 31 de diciembre de 2025, la OCPA incluyó un período de subsanación de 30 días. Si el DOJ identificaba una violación subsanable, debía proporcionar a la empresa un aviso y 30 días para remediar el problema antes de tomar una acción formal de aplicación.
Ese período de subsanación expiró el 1 de enero de 2026. El Fiscal General de Oregón ahora puede emitir una Solicitud de Investigación Civil o presentar una demanda sin ofrecer primero un aviso y subsanación. Esto representa un cambio significativo en el panorama de aplicación para las empresas que operan en Oregón.
Montos de las Sanciones
| Tipo de Violación | Sanción Máxima |
|---|---|
| Violación de la OCPA (por violación) | $7,500 |
| Cada consumidor afectado | Cuenta como una violación separada |
| Honorarios de abogados y costos | Recuperables por el estado |
| Honorarios de testigos expertos | Recuperables por el estado |
| Costos de investigación | Recuperables por el estado |
Cada consumidor afectado puede contar como una violación separada, lo que significa que una violación de procesamiento de datos que afecte a miles de residentes de Oregón podría resultar en sanciones de decenas de millones de dólares.
Resultados de Aplicación del Primer Año
El DOJ de Oregón publicó su reporte de un año de aplicación en agosto de 2025, cubriendo el período del 1 de julio de 2024 al junio de 2025. Los hallazgos clave incluyen:

- La Unidad de Privacidad recibió 214 quejas totales de consumidores durante el primer año
- Las plataformas de redes sociales y los corredores de datos generaron la mayor cantidad de quejas
- Las solicitudes de eliminación fueron el derecho del consumidor más frecuentemente solicitado y denegado
- Se cerraron 38 asuntos de aplicación durante el período, todos resueltos mediante el proceso de aviso y subsanación entonces vigente
- El DOJ reportó que la mayoría de las empresas actualizaron sus avisos de privacidad y mejoraron sus mecanismos de derechos del consumidor rápidamente después de ser contactadas
El reporte de seis meses de aplicación, publicado en marzo de 2025, también señaló más de 250 quejas de residentes de Oregón sobre el manejo de datos del consumidor por parte del Departamento Federal de Eficiencia Gubernamental (DOGE) en el primer trimestre de 2025.
Ley de Registro de Corredores de Datos de Oregón
Separado de la OCPA, Oregón promulgó un requisito de registro de corredores de datos que entró en vigor el 1 de enero de 2024. La ley está codificada en ORS 646A.593 y es administrada por el Departamento de Servicios al Consumidor y Empresas de Oregón (DCBS).
Un "corredor de datos" es una empresa que a sabiendas recolecta y vende u otorga licencias a terceros de los datos personales intermediados de un consumidor con quien la empresa no tiene una relación directa. Las empresas de redes sociales, los programas de lealtad minorista y las empresas que tienen una relación directa con el consumidor cuyos datos recolectan generalmente están excluidas.
Requisitos de Registro
Los corredores de datos deben:
- Registrarse anualmente ante el DCBS antes de recolectar, vender u otorgar licencias de datos personales intermediados dentro de Oregón
- Pagar una tarifa de registro anual de $600
- Divulgar en su registro si los residentes de Oregón pueden excluirse de todas o algunas de las actividades del corredor
- Divulgar si los residentes de Oregón pueden autorizar a un agente para ejercer los derechos de exclusión en su nombre
Según una actualización de implementación de enero de 2025, aproximadamente el 69% de los corredores de datos requeridos habían renovado sus registros, con esfuerzos de aplicación continuos para los corredores que no cumplen.
Ley de Notificación de Violaciones de Datos de Oregón
Separado de la OCPA, Oregón mantiene un estatuto de notificación de violaciones de datos bajo la Ley de Protección de Información del Consumidor de Oregón (OCIPA), codificada en ORS 646A.600 a 646A.628.
Qué Activa la Notificación
Una "violación de seguridad" se define como la adquisición no autorizada de datos computarizados que compromete materialmente la seguridad, confidencialidad o integridad de la información personal. Esto no incluye la adquisición inadvertida por parte de un empleado o agente si la información no es usada indebidamente y no representa una amenaza real para la seguridad del consumidor.
Definición de Información Personal
Bajo la OCIPA, la información personal incluye el nombre o la inicial y el apellido de un consumidor combinados con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o de identificación estatal
- Número de pasaporte u otro número de identificación de los EE. UU.
- Números de cuentas financieras con códigos de acceso
- Datos biométricos (huellas dactilares, escaneos de retina, imágenes de iris)
- Información de seguro médico
- Historial médico o información sobre una condición de salud o tratamiento
- Un nombre de usuario o ID de cuenta más una contraseña o respuestas a preguntas de seguridad
Cronograma de Notificación
Las entidades deben notificar a los consumidores afectados de Oregón a más tardar 45 días después de descubrir o recibir aviso de la violación. La notificación debe incluir una descripción del incidente, el tipo de información personal involucrada, información de contacto de la entidad, e información de contacto de las principales agencias de informes crediticios.
Reporte al Fiscal General
Si una violación afecta a más de 250 consumidores de Oregón, la entidad también debe reportar la violación al Departamento de Justicia de Oregón dentro del mismo plazo de 45 días, junto con una copia de muestra de la notificación al consumidor.
Sanciones por Notificación de Violación
| Tipo de Violación | Sanción Máxima |
|---|---|
| Por violación (OCIPA) | $1,000 |
| Límite de violación continua | $500,000 |
Requisitos de Salvaguarda
La OCIPA también exige que las empresas que mantienen información personal desarrollen, implementen y mantengan salvaguardas razonables. Estas deben incluir medidas administrativas, técnicas y físicas para proteger la seguridad, confidencialidad e integridad de la información personal.
Actualizaciones Legislativas 2025-2026
HB 2008 (2025): Modificaciones a la OCPA
La legislatura de Oregón aprobó el HB 2008 durante la sesión regular de 2025, fortaleciendo varias disposiciones de la OCPA:
- Especificación de propósito. Los controladores deben indicar los propósitos expresos para recolectar y procesar datos personales en sus avisos de privacidad.
- Minimización de datos codificada. La recolección debe limitarse a los datos que sean adecuados, relevantes y razonablemente necesarios para los propósitos especificados.
- Salvaguardas de seguridad. Los controladores deben establecer salvaguardas que protejan la confidencialidad, integridad y accesibilidad de los datos personales.
- Revocación de consentimiento. Los controladores deben proporcionar un medio efectivo para que los consumidores revoquen el consentimiento previamente otorgado.
- Prohibición de venta de datos de menores. Prohíbe la venta de datos personales pertenecientes a consumidores menores de 16 años.
- Restricciones de geolocalización de menores. Prohíbe la venta de datos de ubicación (con una precisión de 1,750 pies) de consumidores menores de 16 años.
- Restricciones de elaboración de perfiles para menores. Prohíbe procesar o elaborar perfiles de consumidores que el controlador sepa o ignore deliberadamente que son menores de 16 años.
SB 1546 (2026): Ley de Chatbots de Compañía con IA
Oregón promulgó el SB 1546 en 2026, convirtiéndose en uno de los primeros estados en regular los chatbots de compañía con IA. La ley entra en vigor el 1 de enero de 2027.
El SB 1546 cubre a los operadores de "compañeros de inteligencia artificial", definidos como sistemas de IA que simulan una relación o compañía sostenida y de tipo humano con los usuarios, y que retienen información contextual a través de las interacciones para personalizar la participación. Los requisitos clave incluyen:
- Divulgación. Los chatbots deben recordar regularmente a los usuarios que son IA, no personas reales, y no pueden hacerse pasar por humanos.
- Salvaguardas de salud mental. Los operadores deben detectar expresiones de ideación suicida o autolesión, interrumpir la conversación cuando sea necesario, y proporcionar referencias a recursos de crisis como la Línea de Crisis y Suicidio 988.
- Protecciones para menores. Se aplican requisitos adicionales cuando un operador sabe o tiene motivos para creer que un usuario es menor de 18 años.
- Reporte público anual. Los operadores deben publicar divulgaciones que resuman las referencias de crisis, los protocolos de intervención y las mejores prácticas clínicas.
La aplicación se realiza mediante un derecho de acción privado con daños estatutarios de $1,000 por violación, lo que convierte a esta en una de las pocas leyes específicas de Oregón sobre IA con aplicación directa por parte del consumidor.
Marco Federal Superpuesto
Los consumidores y las empresas de Oregón también operan bajo varios marcos federales de privacidad de datos que interactúan con la OCPA o la complementan.

TAKE IT DOWN Act (2025)
El presidente Trump firmó la TAKE IT DOWN Act (Pub. L. 119-12) el 19 de mayo de 2025. La ley tipifica como delito la publicación de imágenes íntimas no consentidas (NCII), incluidos los deepfakes generados por IA. La responsabilidad penal comenzó inmediatamente al momento de la promulgación. Las obligaciones de retiro de contenido por parte de las plataformas entraron en vigor el 19 de mayo de 2026: las plataformas cubiertas deben retirar las NCII dentro de las 48 horas posteriores a la solicitud de una víctima y eliminar todas las copias. La FTC hace cumplir las obligaciones de las plataformas, con posibles sanciones civiles de $53,088 por violación.
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico regula la información de salud protegida (PHI) mantenida por entidades cubiertas y sus asociados comerciales. Los proveedores de atención médica de Oregón, los planes de salud y sus proveedores de servicios siguen sujetos a las Reglas de Privacidad y Seguridad de HIPAA de manera independiente a la OCPA. Sin embargo, los datos regulados por HIPAA aún pueden estar sujetos a la OCPA cuando se recolectan para propósitos fuera del alcance de HIPAA.
GLBA (Ley Gramm-Leach-Bliley)
Las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley deben cumplir con su Regla de Salvaguardas (actualizada por la FTC en 2023) en relación con la seguridad de los datos financieros del consumidor. Los datos financieros regulados por la GLBA están exentos de la OCPA a nivel de datos, pero las instituciones financieras aún deben cumplir con los requisitos de la OCPA para los datos del consumidor no regulados por la GLBA que recolectan.
FCRA (Ley de Informe Justo de Crédito)
Las agencias de informes al consumidor y los usuarios de informes de consumidores deben cumplir con los requisitos de la Ley de Informe Justo de Crédito en materia de precisión, propósito permisible y derechos de acceso del consumidor. Los datos regulados por la FCRA están exentos de la OCPA.
COPPA (Ley de Protección de la Privacidad Infantil en Línea)
COPPA exige el consentimiento parental verificable antes de recolectar información personal de niños menores de 13 años en línea. Las disposiciones de la OCPA sobre menores de Oregón extienden las protecciones a los consumidores menores de 16 años, yendo más allá del umbral de 13 años de COPPA.
Sección 5 de la Ley de la FTC
La autoridad de la FTC para prohibir actos o prácticas desleales o engañosas se aplica ampliamente a la privacidad y la seguridad de datos. Las empresas de Oregón no cubiertas por la OCPA (aquellas por debajo de los umbrales de procesamiento) aún pueden enfrentar la aplicación de la FTC por engaño o injusticia relacionados con la privacidad.
Cómo se Compara Oregón con Otras Leyes de Privacidad Estatales
La OCPA de Oregón comparte similitudes estructurales con las leyes de privacidad de Colorado, Connecticut y Virginia, pero incluye varias disposiciones que la hacen más protectora para los consumidores:
| Característica | Oregón (OCPA) | California (CCPA/CPRA) | Colorado (CPA) | Virginia (VCDPA) |
|---|---|---|---|---|
| Umbral de ingresos | Ninguno | $25 millones | Ninguno | $25 millones |
| Organizaciones sin fines de lucro cubiertas | Sí (después de julio de 2025) | No | No | No |
| Derecho a lista de terceros específicos | Sí | No (solo categorías) | No | No |
| Sensible: condición transgénero/no binaria | Sí (exclusivo) | No | No | No |
| Sensible: condición de víctima de delito | Sí (exclusivo) | No | No | No |
| Prohibición de venta de geolocalización (todos los consumidores) | Sí (enero 2026) | No | No | No |
| Exclusión universal requerida | Sí (enero 2026) | Sí | Sí (julio 2024) | No |
| Período de subsanación | Expiró enero 2026 | Ninguno | Ninguno | Ninguno |
| Sanción máxima por violación | $7,500 | $7,500 | $20,000 | $7,500 |
| Derecho de acción privado | No | Limitado (violaciones de datos) | No | No |
Pasos Prácticos de Cumplimiento para Empresas de Oregón
Las empresas que cumplen con los umbrales de procesamiento de la OCPA deben tomar estas medidas para cumplir:
- Audite su inventario de datos. Mapee qué datos personales recolecta, por qué los recolecta, a dónde van, y qué terceros los reciben. Tanto la limitación de propósito como la minimización de datos requieren esta base.
- Actualice su aviso de privacidad. Incluya los propósitos expresos de procesamiento, una descripción de todo el procesamiento de datos sensibles, instrucciones para que los consumidores ejerzan sus derechos, y un procedimiento designado de exclusión para la publicidad dirigida y la venta de datos.
- Construya un flujo de trabajo para las solicitudes de derechos del consumidor. Establezca un mecanismo de recepción confiable (correo electrónico, formulario web o número gratuito) y asegúrese de poder responder dentro de 45 días. Incluya un proceso de apelación.
- Realice evaluaciones de protección de datos. Documente las evaluaciones para toda la publicidad dirigida, las ventas de datos, la elaboración de perfiles y las actividades de procesamiento de datos sensibles. Conserve las evaluaciones durante cinco años.
- Respete los Mecanismos Universales de Exclusión. A partir del 1 de enero de 2026, las señales de GPC son solicitudes de exclusión legalmente operativas. Pruebe sus sistemas para confirmar que detectan y procesan las señales de GPC dentro de 15 días.
- Revise sus prácticas de datos de geolocalización. Deje de vender datos de geolocalización precisa (con una precisión de 1,750 pies) para todos los consumidores de Oregón, no solo para menores.
- Verifique el consentimiento de datos sensibles. Si recolecta o procesa datos que revelan la condición de persona transgénero o no binaria, o la condición de víctima de un delito, verifique que cuenta con consentimiento previo (opt-in). Estas categorías son exclusivas de Oregón.
- Regístrese si es un corredor de datos. Si vende u otorga licencias de datos personales sobre consumidores de Oregón con quienes no tiene una relación directa, regístrese ante el DCBS y pague la tarifa anual de $600.
- Revise los contratos con procesadores. Asegúrese de que todos los acuerdos de procesamiento de datos con proveedores contengan las disposiciones requeridas por la OCPA.
- Capacite a los empleados. Las obligaciones de salvaguardas de seguridad incluyen capacitar a los empleados sobre los procedimientos de manejo de datos y monitorear las amenazas de seguridad.
Cómo Ejercen sus Derechos los Residentes de Oregón
Los consumidores de Oregón pueden ejercer sus derechos bajo la OCPA enviando una solicitud directamente a cualquier empresa cubierta. La empresa debe proporcionar al menos dos métodos para enviar solicitudes de derechos, uno de los cuales no debe requerir la creación de una cuenta.

Para ejercer sus derechos:
- Localice el aviso de privacidad en el sitio web de la empresa. Debe contener instrucciones para enviar solicitudes.
- Envíe una solicitud de derechos a través del método indicado (típicamente un formulario web o una dirección de correo electrónico para solicitudes de privacidad).
- Espere una respuesta dentro de 45 días, con una extensión opcional de 45 días. La empresa debe informarle si está extendiendo el plazo y por qué.
- Apele una denegación utilizando el proceso descrito en el aviso de denegación. La empresa debe responder a su apelación dentro de 45 días.
- Presente una queja ante el Fiscal General de Oregón si una empresa deniega su apelación o no responde. El portal de quejas de privacidad del consumidor del DOJ de Oregón acepta quejas sobre la OCPA.
Para los derechos de exclusión, habilitar el Control de Privacidad Global en un navegador compatible comunica automáticamente su preferencia de exclusión a todos los sitios web cubiertos que visita. Las empresas deben respetar las señales de GPC dentro de 15 días a partir del 1 de enero de 2026.
Más Leyes de Oregón
Explore otros temas legales de Oregón cubiertos en Recording Law:
- Leyes de Grabación de Oregón
- Leyes de Cámaras de Vigilancia de Oregón
- Leyes de Verificación de Antecedentes de Oregón
- Plazo de Prescripción de Oregón
- Leyes de Denunciantes de Oregón
- Leyes de Sillas de Auto para Niños de Oregón
- Leyes de Manutención Infantil de Oregón
- Ley del Limón de Oregón
- Leyes de Grabación de Reuniones con IA de Oregón
- Leyes de Pensión Conyugal de Oregón
- Leyes de Empleo a Voluntad de Oregón
- Leyes de Accidentes Automovilísticos de Oregón
- Leyes de Custodia de Menores de Oregón
- Leyes de Matrimonio de Hecho de Oregón
- Leyes sobre Deepfakes de Oregón
- Leyes de Divorcio de Oregón
- Leyes sobre Mordeduras de Perro de Oregón
- Leyes de Emancipación de Oregón
- Leyes de Eliminación de Antecedentes Penales de Oregón
- Leyes sobre Accidentes con Fuga de Oregón
- Leyes de Propietarios e Inquilinos de Oregón
Guías detalladas
Fuentes y referencias
- Estatutos Revisados de Oregón Capítulo 646A (Protección al Consumidor)(oregonlegislature.gov).gov
- DOJ de Oregón - Preguntas Frecuentes de la Ley de Privacidad para Empresas(doj.state.or.us).gov
- DOJ de Oregón - Preguntas Frecuentes de la Ley de Privacidad para Consumidores(doj.state.or.us).gov
- DOJ de Oregón - Preguntas Frecuentes de la Ley de Privacidad para Organizaciones sin Fines de Lucro(doj.state.or.us).gov
- Reporte de un Año de Aplicación de la OCPA del DOJ de Oregón(doj.state.or.us).gov
- Reporte de Seis Meses de Aplicación de la OCPA del DOJ de Oregón(doj.state.or.us).gov
- Pautas de Evaluación de Protección de Datos del DOJ de Oregón(doj.state.or.us).gov
- Anuncio de la Herramienta de Exclusión Universal del DOJ de Oregón(doj.state.or.us).gov
- HB 2008 Promulgado (Sesión Regular 2025)(olis.oregonlegislature.gov).gov
- Página de Violaciones de Datos del DOJ de Oregón(doj.state.or.us).gov
- Registro de Corredores de Datos del DFR de Oregón(dfr.oregon.gov).gov
- Guía de la Ley de Protección de Información del Consumidor de Oregón(dfr.oregon.gov).gov
- Información de Aplicación de la TAKE IT DOWN Act de la FTC(ftc.gov).gov
- Resumen de la OCPA de la Agencia de Bienes Raíces de Oregón(oregon.gov).gov