Oregon
¿Qué es la OCPA? Ley de Privacidad del Consumidor de Oregón

La Ley de Privacidad del Consumidor de Oregón (OCPA), codificada en ORS 646A.570 a 646A.589, entró en vigor el 1 de julio de 2024 para la mayoría de las empresas y el 1 de julio de 2025 para las organizaciones sin fines de lucro cubiertas. Promulgada como el Proyecto de Ley del Senado 619 y firmada por la gobernadora Tina Kotek el 18 de julio de 2023, otorga a los residentes de Oregón un conjunto completo de derechos de datos, incluida una característica que pocos otros estados igualan: el derecho a obtener una lista de los terceros específicos que recibieron sus datos personales.
A partir de 2026, el Departamento de Justicia del Fiscal General de Oregón tiene la autoridad exclusiva de aplicación y puede buscar sanciones civiles de hasta $7,500 por infracción. El derecho de subsanación de 30 días en el que se apoyaban las empresas hasta 2025 expiró el 1 de enero de 2026, por lo que una empresa ya no puede contar con un período de gracia garantizado antes de que el estado actúe.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad del Consumidor de Oregón (ORS 646A.570 a 646A.589). Es información legal general, no asesoría legal.
Qué es la OCPA: estatuto, promulgación y doble fecha de vigencia
La Ley de Privacidad del Consumidor de Oregón es la primera ley integral de privacidad de datos del consumidor en Oregón. Está codificada en las Secciones 646A.570 a 646A.589 de los Estatutos Revisados de Oregón y fue promulgada durante la sesión regular de 2023 como el Proyecto de Ley del Senado 619, una medida solicitada por la entonces Fiscal General Ellen Rosenblum. La gobernadora Tina Kotek firmó el SB 619 el 18 de julio de 2023.
La OCPA tiene dos fechas de vigencia, una estructura que distingue a Oregón de la mayoría de las leyes de privacidad estatales. Para la mayoría de los controladores, la ley entró en vigor el 1 de julio de 2024. Para las organizaciones sin fines de lucro cubiertas, entró en vigor un año después, el 1 de julio de 2025. Ese cronograma escalonado refleja otra distinción de Oregón: la OCPA alcanza a muchas organizaciones sin fines de lucro en absoluto. Varias otras leyes de privacidad estatales eximen por completo a las organizaciones sin fines de lucro, por lo que la comunidad sin fines de lucro en esos estados nunca tiene una fecha de cumplimiento.
La fecha diferida para las organizaciones sin fines de lucro les dio a las organizaciones benéficas, grupos de defensa y organizaciones similares tiempo adicional para construir programas de privacidad antes de que comenzaran sus obligaciones. A partir de 2026, ambas fechas de vigencia ya pasaron, por lo que cada categoría de organización cubierta, con y sin fines de lucro por igual, está ahora completamente sujeta a la OCPA.
Para conocer las obligaciones completas de controladores y encargados del procesamiento, las reglas de contenido de aviso de privacidad y los requisitos de evaluación de protección de datos, consulte la página principal de leyes de privacidad de datos de Oregón.
A quién cubre la OCPA: aplicabilidad sin umbral de ingresos
La prueba de aplicabilidad de la OCPA se encuentra en ORS 646A.572(1). La ley se aplica a una persona que hace negocios en Oregón, o que proporciona productos o servicios a residentes de Oregón, y que durante un año calendario controla o procesa los datos personales de uno de dos grupos.
El primer factor desencadenante, ORS 646A.572(1)(a), es 100,000 o más consumidores, contando a todos los consumidores excepto aquellos cuyos datos se controlan o procesan "únicamente con el propósito de completar una transacción de pago". La excepción de transacción de pago significa que un minorista no cuenta cada deslizamiento de tarjeta hacia el umbral si los únicos datos involucrados son los necesarios para procesar esa única compra.
El segundo factor desencadenante, ORS 646A.572(1)(b), es 25,000 o más consumidores, pero solo "mientras obtiene el 25 por ciento o más de los ingresos brutos anuales de la persona de la venta de datos personales". Este umbral menor de recuento aplica a empresas basadas en datos cuyo modelo depende de la venta de información personal.
Lo que destaca notablemente por su ausencia es cualquier piso de ingresos en dólares. Muchas leyes de privacidad estatales, incluidas las de Utah y Virginia, combinan un umbral de recuento de consumidores con un umbral de ingresos, de modo que una empresa por debajo de un nivel de ingresos anuales establecido escapa a la cobertura sin importar cuántos datos maneje. Oregón no estableció tal piso. Una empresa que cumple con el recuento de 100,000 consumidores está cubierta incluso si sus ingresos anuales son modestos. Esto hace que la red de la OCPA sea más amplia en el extremo de ingresos bajos que varios de sus estatutos pares.
La consecuencia práctica es que empresas medianas e incluso más pequeñas que procesan grandes volúmenes de datos de residentes de Oregón pueden estar cubiertas, cuando la misma empresa podría escapar a la cobertura bajo una ley que exige tanto un recuento de datos como un mínimo de ingresos.

Las exenciones de Oregón: más limitadas que la mayoría de los estados
Muchas leyes de privacidad estatales otorgan amplias exenciones a nivel de entidad: si una organización es una institución financiera sujeta a la Ley Gramm-Leach-Bliley, o es una organización sin fines de lucro, toda la organización queda fuera de la ley. Oregón tomó un camino más limitado, y esta es una de las características definitorias de la OCPA.
A nivel de datos, ORS 646A.572(2) excluye la "información de salud protegida" procesada por entidades que cumplen con la HIPAA, y excluye varias categorías de datos regidas por otros marcos federales. Estas son exenciones a nivel de datos: los datos regulados específicos están exentos, no necesariamente toda la organización.
En cuanto a las instituciones financieras, la estructura de Oregón es más limitada que la típica exención general de la GLBA. ORS 646A.572(2) aborda a las instituciones financieras definidas según ORS 706.008 y a las afiliadas dedicadas únicamente a actividades financieras, pero las exenciones de Oregón para el sector financiero se enmarcan en torno a roles específicos con licencia y datos regulados, en lugar de un pase general para cualquier empresa que toque información cubierta por la GLBA.
En cuanto a las organizaciones sin fines de lucro, el contraste es más marcado. La mayoría de las leyes de privacidad estatales eximen a todas las organizaciones sin fines de lucro. Oregón no lo hace. Solo excluye categorías limitadas, como una organización sin fines de lucro que detecta y previene el fraude de seguros, y la actividad no comercial de editores y radiodifusores. El grueso de las organizaciones sin fines de lucro de Oregón está cubierto, por lo que la legislatura les dio una fecha de vigencia diferida al 1 de julio de 2025. Un grupo de defensa del consumidor, un museo o una asociación de membresía que cumpla con los umbrales de aplicabilidad generalmente está sujeto a la OCPA.
Las corporaciones públicas y los organismos públicos, incluidos organismos como la Universidad de Salud y Ciencias de Oregón y el Colegio de Abogados de Oregón, se abordan dentro de la lista de exenciones de ORS 646A.572(2). Las empresas deben mapear cada conjunto de datos y entidad frente a la lista de exenciones en lugar de asumir que un solo estatus regulatorio saca a toda la organización de la ley.
La amplia definición de datos sensibles
Los datos sensibles ocupan el centro de la OCPA porque procesarlos requiere consentimiento previo. La definición en ORS 646A.570(18) es notablemente amplia en comparación con los estados pares.
Según ORS 646A.570(18)(a)(A), los datos sensibles incluyen datos personales que "revelan el origen racial o étnico de un consumidor, origen nacional, creencias religiosas, condición o diagnóstico mental o físico, orientación sexual, condición de persona transgénero o no binaria, condición de víctima de un delito o condición de ciudadanía o inmigración". Dos de esas categorías destacan. La inclusión explícita de la "condición de persona transgénero o no binaria" es poco común en la ley de privacidad estatal, y la inclusión de la "condición de víctima de un delito" también es poco común. Muchos estados cubren la orientación sexual y la condición de inmigración, pero la mención explícita de Oregón de la condición transgénero o no binaria y la condición de víctima de un delito amplía el conjunto protegido.
La definición continúa. ORS 646A.570(18)(a)(B) cubre "los datos personales de un menor". ORS 646A.570(18)(a)(C) cubre datos de ubicación precisa, específicamente datos que "identifican con precisión, dentro de un radio de 1,750 pies, la ubicación presente o pasada de un consumidor". ORS 646A.570(18)(a)(D) cubre datos que "son genéticos o biométricos".
Debido a que los datos sensibles activan un requisito de consentimiento previo, la amplitud de la definición de Oregón tiene un peso operativo real. Un controlador que procesa datos que revelan la condición de inmigración de un consumidor o su condición transgénero, o que procesa geolocalización precisa, debe obtener consentimiento afirmativo primero. Una definición más amplia significa que más categorías de datos caen dentro de la puerta de consentimiento.

El derecho a la lista de terceros específicos: la característica distintiva de Oregón
El derecho del consumidor más distintivo de la OCPA es la posibilidad de conocer exactamente qué terceros recibieron los datos de un consumidor. Según ORS 646A.574(1)(a)(B), un consumidor puede solicitar "una lista de terceros específicos, distintos de personas físicas", a los que el controlador ha divulgado los datos personales del consumidor, o, a opción del controlador, cualquier dato personal.
Esto es significativamente diferente de la divulgación que exigen la mayoría de las leyes de privacidad estatales. Bajo el modelo más común, un consumidor solo puede conocer las categorías de terceros, como "socios publicitarios" o "proveedores de análisis de datos". Oregón va más allá y permite al consumidor solicitar las entidades nombradas y específicas. Oregón fue líder al agregar este derecho, y a partir de 2026 sigue siendo poco común a nivel nacional.
Para las empresas, el derecho a la lista de terceros específicos es una de las obligaciones más difíciles de diseñar dentro de la OCPA, porque requiere rastrear las divulgaciones a nivel de destinatarios nombrados en lugar de categorías amplias. Para los consumidores, ofrece mucha más transparencia sobre a dónde realmente viajaron sus datos. La guía de derechos del consumidor de Oregón cubre este derecho y el procedimiento de respuesta en profundidad.
OCPA vs. CCPA: las diferencias clave
La OCPA de Oregón y la CCPA de California a menudo son comparadas por empresas que operan a nivel nacional. La página de comparación de leyes estatales de privacidad de datos cubre el panorama multiestatal más amplio, pero varias diferencias entre la OCPA y la CCPA de California destacan.
| Característica | OCPA de Oregón | CCPA/CPRA de California |
|---|---|---|
| Umbral de cobertura | 100,000 consumidores, o 25,000 más el 25% de ingresos por ventas de datos; sin piso de ingresos | $25M en ingresos, 100,000 consumidores, o 50% de ingresos por ventas de datos |
| Organizaciones sin fines de lucro | Generalmente cubiertas (vigente desde el 1 de julio de 2025) | Generalmente exentas |
| Derecho de divulgación de terceros | Terceros específicos nombrados (ORS 646A.574(1)(a)(B)) | Categorías de terceros |
| Datos sensibles | Se requiere consentimiento previo; definición amplia | Derecho a limitar el uso; modelo de exclusión voluntaria |
| Derecho de acción privado | Ninguno | Limitado, para ciertas violaciones de datos |
Las diferencias más consecuentes son la red de cobertura y el derecho a la lista de terceros. La ausencia de un piso de ingresos en dólares en Oregón atrae a empresas que el umbral de ingresos de $25 millones de la CCPA dejaría fuera, y el derecho a la lista de terceros específicos de Oregón otorga a los consumidores un nivel de transparencia que la divulgación a nivel de categoría de la CCPA no ofrece.
Las dos leyes también difieren en cuanto a los datos sensibles. California utiliza un "derecho a limitar" el uso de información personal sensible, un modelo de exclusión voluntaria. Oregón exige consentimiento previo antes de que se puedan procesar datos sensibles en absoluto, un valor predeterminado más estricto para esos datos.
Más Leyes de Oregón
- Leyes de Grabación de Reuniones con IA de Oregón
- Leyes de Pensión Alimenticia de Oregón
- Leyes de Empleo a Voluntad de Oregón
- Leyes de Accidentes de Auto de Oregón
- Leyes de Asientos de Auto para Niños de Oregón
- Leyes de Custodia de Menores de Oregón
- Leyes de Manutención Infantil de Oregón
- Leyes de Matrimonio de Hecho de Oregón
- Leyes sobre Deepfakes de Oregón
- Leyes de Divorcio de Oregón
- Leyes sobre Mordeduras de Perro de Oregón
- Leyes de Emancipación de Oregón
- Leyes de Eliminación de Antecedentes Penales de Oregón
- Leyes sobre Choque y Fuga de Oregón
- Leyes de Propietarios e Inquilinos de Oregón
- Leyes de Vehículos Defectuosos (Ley del Limón) de Oregón
Guías relacionadas
Preguntas frecuentes
¿Qué es la OCPA?
La OCPA, o Ley de Privacidad del Consumidor de Oregón, es la ley integral de privacidad de datos del consumidor de Oregón, codificada en ORS 646A.570 a 646A.589. Fue promulgada como el Proyecto de Ley del Senado 619, firmada por la gobernadora Tina Kotek el 18 de julio de 2023, y entró en vigor el 1 de julio de 2024 para la mayoría de los controladores y el 1 de julio de 2025 para las organizaciones sin fines de lucro cubiertas. Otorga a los residentes de Oregón derechos sobre sus datos personales y exige a las empresas cubiertas ser transparentes sobre cómo los recopilan, usan y divulgan.
¿Cuándo entró en vigor la OCPA?
La OCPA tiene dos fechas de vigencia. Para la mayoría de los controladores, entró en vigor el 1 de julio de 2024. Para las organizaciones sin fines de lucro cubiertas, entró en vigor un año después, el 1 de julio de 2025. A partir de 2026, ambas fechas ya pasaron, por lo que cada categoría de organización cubierta está completamente sujeta a la ley. Un requisito separado de reconocer una señal de exclusión voluntaria universal entró en vigor el 1 de enero de 2026.
¿Tiene la OCPA un umbral de ingresos?
No. Según ORS 646A.572(1), la OCPA cubre a cualquier persona que haga negocios en Oregón o atienda a residentes de Oregón que controle o procese los datos personales de 100,000 o más consumidores, o de 25,000 o más consumidores mientras obtiene el 25 por ciento o más de sus ingresos brutos anuales de la venta de datos personales. A diferencia de Utah y Virginia, Oregón no establece un piso de ingresos en dólares, por lo que una empresa puede estar cubierta solo por el volumen de datos.
¿Se aplica la OCPA a las organizaciones sin fines de lucro?
Sí, generalmente. Oregón es inusual al cubrir a muchas organizaciones sin fines de lucro, mientras que varios otros estados las eximen por completo. ORS 646A.572(2) solo excluye categorías limitadas, como una organización sin fines de lucro que detecta y previene el fraude de seguros y cierta actividad mediática no comercial. La mayoría de las organizaciones sin fines de lucro que cumplen con los umbrales de aplicabilidad están cubiertas, por lo que la legislatura les dio una fecha de vigencia diferida al 1 de julio de 2025.
¿Qué se considera dato sensible bajo la OCPA?
Según ORS 646A.570(18), los datos sensibles incluyen datos que revelan origen racial o étnico, origen nacional, creencias religiosas, condición o diagnóstico mental o físico, orientación sexual, condición de persona transgénero o no binaria, condición de víctima de un delito, y condición de ciudadanía o inmigración. También incluye los datos personales de un menor, datos genéticos o biométricos, y geolocalización precisa dentro de 1,750 pies. Procesar datos sensibles requiere consentimiento previo.
¿Cuál es el derecho de Oregón a la lista de terceros específicos?
Según ORS 646A.574(1)(a)(B), un consumidor de Oregón puede solicitar una lista de los terceros específicos, distintos de personas físicas, a los que el controlador divulgó los datos personales del consumidor, o, a opción del controlador, cualquier dato personal. Esto es más amplio que la divulgación a nivel de categoría que exige la mayoría de las leyes estatales, porque identifica a los destinatarios nombrados en lugar de grupos amplios. Oregón fue pionero en este derecho, y sigue siendo poco común a partir de 2026.
¿En qué se diferencia la OCPA de la CCPA?
Diferencias clave: Oregón no tiene un umbral de ingresos en dólares, mientras que la CCPA de California utiliza un piso de $25 millones en ingresos entre sus factores desencadenantes; Oregón generalmente cubre a las organizaciones sin fines de lucro, mientras que California generalmente las exime; Oregón permite a los consumidores solicitar terceros específicos nombrados, mientras que California divulga categorías; Oregón exige consentimiento previo para los datos sensibles, mientras que California utiliza un derecho de exclusión voluntaria para limitar; y California tiene un derecho de acción privado limitado para ciertas violaciones de datos, mientras que Oregón no tiene ninguno.
¿Quién hace cumplir la OCPA?
El Fiscal General de Oregón, a través del Departamento de Justicia de Oregón, tiene la autoridad exclusiva de aplicación según ORS 646A.589(8). No existe derecho de acción privado. Las sanciones civiles alcanzan hasta $7,500 por infracción según ORS 646A.589(4)(a). El derecho de subsanación de 30 días en el que se apoyaban los controladores hasta 2025 expiró el 1 de enero de 2026, por lo que ya no existe un período garantizado de subsanación.
Fuentes y referencias
- ORS 646A.570 a 646A.589: Ley de Privacidad del Consumidor de Oregón (Capítulo Completo)(oregonlegislature.gov).gov
- Proyecto de Ley del Senado de Oregón 619 (Sesión Regular de 2023): Resumen de la Medida(olis.oregonlegislature.gov).gov
- Departamento de Justicia de Oregón: Privacidad del Consumidor (Ley de Privacidad del Consumidor de Oregón)(doj.state.or.us).gov
- ORS 646A.570: Definiciones (Datos Sensibles y Venta)(oregon.public.law)
- ORS 646A.572: Aplicabilidad y Exenciones(oregon.public.law)
- ORS 646A.574: Derechos del Consumidor, Incluida la Lista de Terceros Específicos(oregon.public.law)
- ORS 646A.578: Obligaciones del Controlador y Aviso de Privacidad(oregon.public.law)
- ORS 646A.589: Aplicación por el Fiscal General y Sanciones Civiles(oregon.public.law)
- Departamento de Justicia de Oregón: Informe de Aplicación del Primer Año de la OCPA (2025)(doj.state.or.us).gov