Oregon
Lista de Verificación de Cumplimiento de la OCPA para Empresas de Oregón

Las empresas sujetas a la Ley de Privacidad del Consumidor de Oregón (OCPA), codificada en ORS 646A.570 a 646A.589, deben realizar una prueba de aplicabilidad, publicar un aviso de privacidad conforme, obtener consentimiento previo antes de procesar datos sensibles, reconocer una señal de exclusión voluntaria universal a partir del 1 de enero de 2026, completar evaluaciones de protección de datos para el procesamiento de alto riesgo, firmar contratos con encargados del procesamiento y crear un mecanismo para divulgar los terceros específicos que recibieron los datos de un consumidor. Esta lista de verificación recorre cada paso a partir de 2026.
Los riesgos de cumplimiento aumentaron en 2026. El derecho de subsanación de 30 días en el que se apoyaban los controladores hasta 2025 expiró el 1 de enero de 2026, por lo que el Fiscal General de Oregón ahora puede iniciar una acción sin ofrecer primero una ventana garantizada para corregir el problema. Las sanciones civiles alcanzan hasta $7,500 por infracción según ORS 646A.589.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad del Consumidor de Oregón (ORS 646A.570 a 646A.589). Es información legal general, no asesoría legal.
Paso 1: Realice la prueba de aplicabilidad
La primera tarea es determinar si la OCPA aplica en absoluto. Según ORS 646A.572(1), la ley cubre a una persona que hace negocios en Oregón, o que proporciona productos o servicios a residentes de Oregón, y que durante un año calendario controla o procesa los datos personales de 100,000 o más consumidores, o de 25,000 o más consumidores mientras obtiene el 25 por ciento o más de sus ingresos brutos anuales de la venta de datos personales.
La característica definitoria de esta prueba es que no utiliza ningún umbral mínimo de ingresos en dólares. A diferencia de Utah y Virginia, Oregón no exige que una empresa supere un umbral mínimo de ingresos antes de que la ley se aplique. Una empresa que cumple con el conteo de 100,000 consumidores está cubierta sin importar cuán grandes o pequeños sean sus ingresos. La descripción general de la OCPA de Oregón explica por qué esta amplia red incluye a empresas que escapan de la cobertura bajo varias leyes estatales similares.
Al contar los consumidores hacia el umbral de 100,000, excluya los datos controlados o procesados "únicamente con el fin de completar una transacción de pago" según ORS 646A.572(1)(a). Una empresa también debe revisar la lista de exenciones en ORS 646A.572(2), pero no debe asumir que un solo estatus regulatorio elimina a toda la organización. Las exenciones de Oregón son más limitadas que las de la mayoría de los estados: los datos de la GLBA y HIPAA se manejan a nivel de datos, y la mayoría de las organizaciones sin fines de lucro están cubiertas en lugar de exentas, razón por la cual las organizaciones sin fines de lucro obtuvieron una fecha de vigencia retrasada al 1 de julio de 2025.
Paso 2: Publique un aviso de privacidad conforme
Según ORS 646A.578, un controlador cubierto debe proporcionar a los consumidores un aviso de privacidad razonablemente accesible, claro y significativo. El aviso debe describir las categorías de datos personales que procesa el controlador, los propósitos del procesamiento, cómo un consumidor puede ejercer sus derechos y apelar una decisión, las categorías de datos personales que el controlador comparte con terceros y las categorías de esos terceros.
El aviso también debe identificar si el controlador vende datos personales o los procesa para publicidad dirigida, y debe explicar cómo un consumidor puede excluirse de esas actividades. A partir del 1 de enero de 2026, el aviso debe reflejar que el controlador reconoce un mecanismo de exclusión voluntaria universal. Mantenga el aviso actualizado: cuando las prácticas de procesamiento cambien de manera significativa, el aviso debe actualizarse para reflejarlo.
Paso 3: Obtenga consentimiento previo para datos sensibles
Oregón exige el consentimiento afirmativo y previo antes de que un controlador pueda procesar datos sensibles. Según ORS 646A.578, un controlador no puede procesar datos sensibles sobre un consumidor sin obtener primero el consentimiento del consumidor, y para los datos de un menor conocido, debe procesar esos datos conforme a la Ley federal de Protección de la Privacidad Infantil en Línea.
La razón por la que este paso exige atención es la amplitud de la definición de datos sensibles de Oregón. Según ORS 646A.570(18), los datos sensibles incluyen datos que revelan origen racial o étnico, origen nacional, creencias religiosas, condición o diagnóstico mental o físico, orientación sexual, estatus como persona transgénero o no binaria, estatus como víctima de un delito y estatus de ciudadanía o migratorio. También cubre los datos personales de un menor, datos genéticos o biométricos y la geolocalización precisa dentro de 1,750 pies. La inclusión expresa del estatus transgénero o no binario, el estatus de víctima de delito y el estatus migratorio hace que la puerta de Oregón sea más amplia que la de muchos estados. El consentimiento debe ser un acto afirmativo claro; las casillas premarcadas y el consentimiento inferido no califican.

Paso 4: Reconozca el mecanismo de exclusión voluntaria universal para el 1 de enero de 2026
Un controlador que procesa datos personales para publicidad dirigida o que vende datos personales debe permitir que los consumidores se excluyan mediante un mecanismo de exclusión voluntaria universal a partir del 1 de enero de 2026, según ORS 646A.578. Se trata de una señal a nivel de navegador o de dispositivo que comunica la elección del consumidor sin que este tenga que visitar a cada controlador individualmente.
El Control de Privacidad Global (GPC) es el ejemplo principal, y el Departamento de Justicia de Oregón lo ha identificado como una señal calificada. El mecanismo debe reflejar la elección afirmativa y voluntaria del consumidor, en lugar de una configuración predeterminada. Para cumplir, un controlador debe crear la capacidad técnica para detectar una señal calificada y tratarla como una exclusión voluntaria válida de la publicidad dirigida y la venta. La guía de derechos del consumidor bajo la OCPA cubre cómo esta señal interactúa con las solicitudes individuales de exclusión voluntaria.
Paso 5: Complete las evaluaciones de protección de datos
Según ORS 646A.586, un controlador debe realizar y documentar una evaluación de protección de datos para cada actividad de procesamiento que presente un riesgo elevado de daño a un consumidor. El estatuto nombra las categorías de alto riesgo: el procesamiento para publicidad dirigida, la venta de datos personales, el procesamiento de datos sensibles y cierto perfilamiento, específicamente el perfilamiento que presenta un riesgo razonablemente previsible de trato injusto o engañoso, lesión financiera o física, intrusión en la soledad o los asuntos privados, u otro daño sustancial.
La evaluación debe sopesar los beneficios del procesamiento frente a los riesgos para el consumidor, atenuados por las salvaguardas que el controlador puede utilizar. El controlador debe conservar la evaluación y ponerla a disposición del Fiscal General de Oregón cuando este la solicite en relación con una investigación. Las evaluaciones se aplican a las actividades de procesamiento realizadas a partir de la fecha de vigencia de la ley y no son retroactivas. Debido a que el Fiscal General puede exigirlas durante una investigación, las evaluaciones funcionan tanto como una obligación de cumplimiento como una posible evidencia de aplicación.
Paso 6: Firme contratos con los encargados del procesamiento
Según ORS 646A.581, un controlador que contrata a un encargado del procesamiento para manejar datos personales en su nombre debe hacerlo mediante un contrato vinculante. El contrato debe establecer las instrucciones de procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos sujetos al procesamiento, la duración del procesamiento y los derechos y obligaciones de ambas partes.
El contrato también debe exigir que el encargado garantice que cada persona que procese los datos esté sujeta a un deber de confidencialidad, que elimine o devuelva los datos personales al final del acuerdo, que ponga a disposición la información necesaria para demostrar el cumplimiento, que permita y coopere con evaluaciones razonables, y que contrate subcontratistas solo bajo un contrato escrito que imponga las mismas obligaciones. Un controlador que comparte datos con proveedores sin estos términos contractuales vigentes tiene una brecha de cumplimiento sobre la que el Fiscal General puede actuar.

Paso 7: Cree el mecanismo de la lista de terceros específicos
La obligación distintiva de Oregón es el deber de divulgar terceros específicos. Según ORS 646A.574(1)(a)(B), un consumidor puede solicitar una lista de los terceros específicos, que no sean personas naturales, a los que el controlador haya divulgado los datos personales del consumidor, o, a opción del controlador, cualquier dato personal. Se trata de una divulgación de entidades nombradas, no de la divulgación a nivel de categoría que exigen la mayoría de las leyes estatales.
Para satisfacer esto, un controlador debe mantener registros de las divulgaciones a nivel de destinatarios identificables, no solo de grupos amplios como "socios publicitarios". Esta es una de las capacidades más difíciles de implementar de la OCPA, porque exige rastrear qué organizaciones específicas recibieron datos personales. Construir esta capacidad desde el principio, incluyendo un mapa de datos de los destinatarios y un flujo de trabajo para generar la lista a solicitud, es el núcleo práctico de la preparación para la OCPA en este punto. La descripción general de la OCPA explica por qué Oregón lideró con este derecho y por qué sigue siendo poco común.
Aplicación ahora que el período de subsanación expiró
La aplicación de la OCPA pertenece exclusivamente al Fiscal General de Oregón, actuando a través del Departamento de Justicia de Oregón. Según ORS 646A.589(8), el Fiscal General "tiene autoridad exclusiva para hacer cumplir" la OCPA, y el estatuto no crea un derecho de acción privado. Ningún consumidor puede demandar directamente a una empresa cubierta bajo la OCPA, sin importar cuán clara sea la infracción.
El cambio más importante de 2026 es el fin del período de subsanación garantizado. Hasta 2025, ORS 646A.589 exigía que el Fiscal General, antes de iniciar una acción, notificara al controlador y le concediera 30 días para corregir la infracción. Esa disposición de subsanación expiró el 1 de enero de 2026. A partir de 2026, el Fiscal General aún puede optar por permitir que un controlador corrija un problema, pero ya no está obligado a ofrecer una ventana de 30 días. Un controlador ya no puede asumir que obtendrá un período de gracia antes de la aplicación.
Las sanciones civiles alcanzan hasta $7,500 por cada infracción según ORS 646A.589(4)(a). La estructura por infracción significa que una falla sistémica que afecte a muchos consumidores, como ignorar solicitudes de eliminación a gran escala o vender datos sensibles sin consentimiento, puede acumularse rápidamente. El Departamento de Justicia de Oregón también publica informes de aplicación que describen las brechas de cumplimiento más comunes que observa, los cuales las empresas pueden utilizar para priorizar sus propios programas.
Lista de verificación de cumplimiento de la OCPA de un vistazo
| Paso | Cita ORS | Plazo o nota clave |
|---|---|---|
| Prueba de aplicabilidad | 646A.572(1) | Sin umbral en dólares; 100,000 o 25,000 o más consumidores |
| Aviso de privacidad | 646A.578 | Divulgar datos, propósitos, derechos, apelaciones |
| Consentimiento previo para datos sensibles | 646A.578, 646A.570(18) | Consentimiento afirmativo antes de procesar |
| Exclusión voluntaria universal | 646A.578 | Reconocer la señal para el 1 de enero de 2026 |
| Evaluaciones de protección de datos | 646A.586 | Procesamiento de alto riesgo; disponible para el Fiscal General |
| Contratos con encargados del procesamiento | 646A.581 | Términos requeridos con cada proveedor |
| Lista de terceros específicos | 646A.574(1)(a)(B) | Rastrear destinatarios nombrados |
| Aplicación | 646A.589 | Subsanación expiró el 1 de enero de 2026; hasta $7,500 por infracción |
Más Leyes de Oregón
- Leyes de Grabación de Reuniones con IA de Oregón
- Leyes de Pensión Alimenticia de Oregón
- Leyes de Empleo a Voluntad de Oregón
- Leyes de Accidentes de Auto de Oregón
- Leyes de Asientos de Auto para Niños de Oregón
- Leyes de Custodia de Menores de Oregón
- Leyes de Manutención Infantil de Oregón
- Leyes de Matrimonio de Hecho de Oregón
- Leyes sobre Deepfakes de Oregón
- Leyes de Divorcio de Oregón
- Leyes sobre Mordeduras de Perro de Oregón
- Leyes de Emancipación de Oregón
- Leyes de Eliminación de Antecedentes Penales de Oregón
- Leyes sobre Choque y Fuga de Oregón
- Leyes de Propietarios e Inquilinos de Oregón
- Leyes de Vehículos Defectuosos (Ley del Limón) de Oregón
Guías relacionadas
Preguntas frecuentes
¿Cómo sé si mi empresa está sujeta a la OCPA?
Aplique la prueba de ORS 646A.572(1). La OCPA cubre a cualquier persona que haga negocios en Oregón o que atienda a residentes de Oregón que, durante un año calendario, controle o procese los datos personales de 100,000 o más consumidores, o de 25,000 o más consumidores mientras obtiene el 25 por ciento o más de sus ingresos brutos anuales de la venta de datos personales. Oregón no utiliza ningún umbral de ingresos en dólares, por lo que una empresa puede estar cubierta solo por volumen de datos. Excluya los datos utilizados únicamente para completar una transacción de pago al contar hacia el umbral de 100,000.
¿La OCPA exime a las instituciones financieras y a las organizaciones sin fines de lucro?
No tan ampliamente como la mayoría de los estados. Según ORS 646A.572(2), Oregón maneja los datos de la GLBA y HIPAA con exclusiones a nivel de datos en lugar de exenciones generales para toda la entidad, y cubre a la mayoría de las organizaciones sin fines de lucro en lugar de eximirlas. Solo categorías limitadas de organizaciones sin fines de lucro, como una que detecta fraude de seguros, están excluidas. Debido a que la mayoría de las organizaciones sin fines de lucro están cubiertas, la legislatura les otorgó una fecha de vigencia retrasada al 1 de julio de 2025. Compare cada conjunto de datos y entidad con la lista de exenciones en lugar de asumir que un solo estatus elimina a toda la organización.
¿Cuándo debe mi empresa respetar una señal de exclusión voluntaria universal?
A partir del 1 de enero de 2026. Según ORS 646A.578, un controlador que procesa datos personales para publicidad dirigida o que vende datos personales debe permitir que los consumidores se excluyan mediante un mecanismo de exclusión voluntaria universal. El Departamento de Justicia de Oregón ha identificado al Control de Privacidad Global como una señal calificada. Para cumplir, cree la capacidad técnica para detectar la señal y tratarla como una exclusión voluntaria válida de la publicidad dirigida y la venta. La señal debe reflejar la elección afirmativa del consumidor, no una configuración predeterminada del navegador.
¿Qué debo construir para cumplir con el derecho a la lista de terceros específicos?
Según ORS 646A.574(1)(a)(B), un consumidor puede solicitar una lista de los terceros específicos y nombrados, que no sean personas naturales, a los que usted haya divulgado sus datos personales, o, a su opción, cualquier dato personal. A diferencia de la divulgación a nivel de categoría que exige la mayoría de los estados, esto exige rastrear las divulgaciones a nivel de destinatarios identificables. Para cumplir, mantenga un mapa de datos de qué organizaciones específicas recibieron datos personales y cree un flujo de trabajo que pueda generar la lista cuando un consumidor lo solicite. Esta es una de las capacidades más difíciles de implementar de la OCPA.
¿Cuándo se requieren evaluaciones de protección de datos según la OCPA?
Según ORS 646A.586, un controlador debe realizar y documentar una evaluación de protección de datos para cada actividad de procesamiento que presente un riesgo elevado de daño. Las categorías de alto riesgo nombradas son el procesamiento para publicidad dirigida, la venta de datos personales, el procesamiento de datos sensibles y cierto perfilamiento que arriesga un trato injusto o engañoso, lesión financiera o física, o intrusión en asuntos privados. La evaluación debe sopesar los beneficios frente a los riesgos, y el Fiscal General puede solicitarla durante una investigación. Las evaluaciones no son retroactivas.
¿Qué cambió en la aplicación de la OCPA en 2026?
El derecho de subsanación de 30 días expiró el 1 de enero de 2026. Hasta 2025, el Fiscal General de Oregón tenía que notificar a un controlador y concederle 30 días para corregir una infracción antes de iniciar una acción. A partir de 2026, esa ventana garantizada ha desaparecido. El Fiscal General aún puede optar por permitir una subsanación, pero ya no está obligado a ofrecerla, por lo que una empresa ya no puede contar con un período de gracia antes de la aplicación. Las sanciones civiles alcanzan hasta $7,500 por infracción según ORS 646A.589(4)(a).
¿Cuáles son las sanciones por infringir la OCPA?
Según ORS 646A.589(4)(a), el Fiscal General de Oregón puede buscar una sanción civil de hasta $7,500 por cada infracción. La estructura por infracción significa que una falla sistémica que afecte a muchos consumidores puede acumularse rápidamente. La aplicación es exclusiva del Fiscal General según ORS 646A.589(8); no existe derecho de acción privado, por lo que los consumidores no pueden demandar directamente a las empresas, pero pueden presentar quejas ante el Departamento de Justicia de Oregón, que puede investigar y buscar sanciones.
¿Necesito un contrato con mis encargados del procesamiento de datos?
Sí. Según ORS 646A.581, un controlador que utiliza un encargado del procesamiento debe tener un contrato vinculante que establezca las instrucciones de procesamiento, la naturaleza, el propósito, los tipos de datos y la duración, y que imponga obligaciones como confidencialidad, eliminación o devolución de datos al final del acuerdo, cooperación con evaluaciones y términos que se extiendan a cualquier subcontratista. Compartir datos personales con un proveedor sin estos términos contractuales vigentes es una brecha de cumplimiento sobre la que el Fiscal General puede actuar.
Fuentes y referencias
- ORS 646A.572: Aplicabilidad y Exenciones(oregon.public.law)
- ORS 646A.578: Deberes del Controlador, Aviso de Privacidad, Consentimiento para Datos Sensibles y Exclusión Voluntaria Universal(oregon.public.law)
- ORS 646A.581: Deberes del Encargado del Procesamiento y Contratos Controlador-Encargado(oregon.public.law)
- ORS 646A.586: Evaluaciones de Protección de Datos(oregon.public.law)
- ORS 646A.589: Aplicación por el Fiscal General y Sanciones Civiles(oregon.public.law)
- ORS 646A.574: Derechos del Consumidor, Incluida la Lista de Terceros Específicos(oregon.public.law)
- ORS 646A.570 a 646A.589: Ley de Privacidad del Consumidor de Oregón (Capítulo Completo)(oregonlegislature.gov).gov
- Departamento de Justicia de Oregón: Privacidad del Consumidor (Ley de Privacidad del Consumidor de Oregón)(doj.state.or.us).gov
- Departamento de Justicia de Oregón: Informe de un Año de Aplicación de la OCPA (2025)(doj.state.or.us).gov