Requisitos de la Política de Privacidad: Qué Debe Incluir (2026)
Una política de privacidad no es opcional para la mayoría de los sitios web y aplicaciones que operan en Estados Unidos o que prestan servicio a usuarios en la Unión Europea. La ley federal, los estatutos estatales y las regulaciones internacionales imponen requisitos específicos de divulgación, y las consecuencias de hacerlo mal van desde multas regulatorias hasta demandas colectivas. Esta guía desglosa lo que la ley realmente exige, jurisdicción por jurisdicción.
Requisitos federales de la política de privacidad
Estados Unidos carece de una ley federal de privacidad única e integral. En cambio, las obligaciones de la política de privacidad provienen de un mosaico de estatutos sectoriales y acciones de aplicación regulatoria.
Ley de la FTC (Sección 5)
La Comisión Federal de Comercio (FTC) hace cumplir el cumplimiento de la política de privacidad principalmente a través de la Sección 5 de la Ley de la FTC, que prohíbe los "actos o prácticas injustas o engañosas". La FTC no exige que las empresas tengan una política de privacidad, pero si una empresa publica una, debe cumplirla. No cumplir las promesas contenidas en su política de privacidad constituye una práctica engañosa.
La FTC ha iniciado cientos de acciones de aplicación contra empresas por infracciones a la política de privacidad, lo que ha dado lugar a órdenes de consentimiento, sanciones multimillonarias y programas de cumplimiento obligatorios. Solo en 2024, la FTC persiguió acciones contra empresas por prometer en exceso la eliminación de datos, tergiversar las prácticas de intercambio de datos y usar patrones oscuros para obtener el consentimiento.
COPPA (Privacidad en línea de menores)
La Ley de Protección de la Privacidad Infantil en Línea (15 USC 6501-6506) impone los requisitos federales más prescriptivos de política de privacidad. Los sitios web y servicios en línea dirigidos a menores de 13 años (o aquellos con conocimiento real de que recopilan datos de menores de 13 años) deben incluir una política de privacidad que divulgue claramente:
- Todas las categorías de información personal recopilada de los menores
- Cómo se usa la información
- Si la información se divulga a terceros (y a quiénes)
- Una descripción de los derechos parentales, incluido el derecho a revisar, eliminar y rechazar una recopilación adicional
- Información de contacto del operador del sitio
- La fecha de vigencia de la política
Conforme a la Regla COPPA (16 CFR Parte 312), los operadores deben obtener el consentimiento parental verificable antes de recopilar, usar o divulgar la información personal de un menor. La política de privacidad debe enlazarse directamente desde la página de inicio y desde cualquier página donde se recopile información de menores.
La FTC puede imponer sanciones de hasta $50,120 por infracción (ajustadas por inflación a partir de 2024) por infracciones a la COPPA.
HIPAA (Privacidad de la salud)
La Ley de Portabilidad y Responsabilidad del Seguro Médico exige a las entidades cubiertas (proveedores de atención médica, planes de salud y cámaras de compensación de atención médica) proporcionar un Aviso de Prácticas de Privacidad a los pacientes. Este aviso debe explicar cómo se puede usar y divulgar la información médica protegida (PHI), los derechos del paciente respecto a su PHI, y los deberes legales de la entidad (45 CFR 164.520).
GLBA (Privacidad financiera)
La Ley Gramm-Leach-Bliley exige a las instituciones financieras proporcionar avisos de privacidad claros y visibles que expliquen sus prácticas de intercambio de información. La Regla de Privacidad (Reglamento P) ordena avisos anuales de privacidad a los clientes y avisos iniciales a los nuevos clientes antes de compartir información personal no pública.
Requisitos de la política de privacidad de California
California lidera la nación en regulación de políticas de privacidad, con múltiples estatutos superpuestos que efectivamente establecen el estándar para las empresas que operan en línea en EE. UU.
CalOPPA (Ley de Protección de la Privacidad en Línea de California)
CalOPPA (Cal. Bus. & Prof. Code 22575-22579) fue la primera ley de EE. UU. en exigir que los sitios web y servicios en línea comerciales publiquen una política de privacidad. Su alcance se extiende más allá de California: cualquier operador que recopile información de identificación personal de consumidores de California debe cumplir, sin importar dónde esté ubicada la empresa.
La CalOPPA exige que la política de privacidad:
- Identifique las categorías de información de identificación personal recopilada y las categorías de terceros con quienes puede compartirse
- Describa el proceso para notificar a los usuarios sobre cambios materiales a la política
- Identifique su fecha de vigencia
- Divulgue cómo el operador responde a las señales de "No Rastrear"
- Divulgue si terceros pueden recopilar información de identificación personal sobre las actividades en línea de los usuarios en diferentes sitios web
- Sea publicada de manera visible (enlazada desde la página de inicio usando la palabra "privacidad")
Las infracciones a la CalOPPA pueden ser aplicadas por el Fiscal General de California, con sanciones de hasta $2,500 por infracción después de un período de subsanación de 30 días.
CCPA/CPRA (Ley de Privacidad del Consumidor de California / Ley de Derechos de Privacidad de California)
La CCPA, según fue enmendada por la CPRA (vigente desde el 1 de enero de 2023), impone los requisitos de política de privacidad más detallados de cualquier ley estatal de EE. UU. Conforme al Cal. Civ. Code 1798.100(b), las empresas que cumplen los umbrales de aplicabilidad deben divulgar en su política de privacidad:
Categorías de información personal recopilada en los 12 meses anteriores, organizadas según las categorías estatutarias (identificadores, información comercial, actividad en internet, geolocalización, datos biométricos, información profesional, información educativa, inferencias e información personal sensible).
Fines de la recopilación para cada categoría. Declaraciones genéricas como "para mejorar nuestros servicios" son insuficientes. La CCPA exige especificidad sobre cada fin comercial o de negocio.
Fuentes de la información personal. Las empresas deben identificar las categorías de fuentes de las que se recopila la información personal.
Intercambio y venta con terceros. La política debe divulgar si la información personal se vende o comparte para publicidad conductual entre contextos, qué categorías se venden o comparten, y a qué categorías de terceros.
Períodos de retención. La CPRA añadió el requisito de divulgar el período de retención de cada categoría de información personal, o los criterios utilizados para determinar dicho período (Cal. Civ. Code 1798.100(a)(3)).
Derechos del consumidor. La política debe describir el derecho a saber, el derecho a eliminar, el derecho a corregir, el derecho a excluirse de la venta/el intercambio, y el derecho a limitar el uso de la información personal sensible, junto con instrucciones para ejercer cada derecho.
Enlace de No Vender. Las empresas que venden o comparten información personal deben incluir un enlace de "No Vender ni Compartir Mi Información Personal" en su página de inicio.
La Agencia de Protección de la Privacidad de California (CPPA) y el Fiscal General de California pueden imponer sanciones de $2,500 por infracción no intencional y $7,500 por infracción intencional o infracción que involucre datos de menores.
Ley de Diseño Apropiado para la Edad de California
Vigente desde el 1 de julio de 2024 (aunque la aplicación fue temporalmente suspendida por orden judicial), la CAADCA añade requisitos para las empresas que ofrecen servicios en línea con probabilidad de ser accedidos por menores de 18 años. Las políticas de privacidad deben incluir una evaluación de impacto de protección de datos para las funciones con probabilidad de ser accedidas por menores.
Requisitos de la política de privacidad de otros estados
Ley de Privacidad de Colorado
La CPA de Colorado (vigente desde el 1 de julio de 2023) exige a los controladores proporcionar un aviso de privacidad que incluya: categorías de datos personales procesados, fines, derechos del consumidor (acceso, eliminación, corrección, exclusión voluntaria), categorías de terceros que reciben datos, y cómo ejercer los derechos. Cabe destacar que Colorado exige la divulgación de las actividades de perfilado y el derecho a excluirse del perfilado para decisiones con efectos legales o similarmente significativos.
Ley de Protección de Datos del Consumidor de Virginia
La VCDPA de Virginia (vigente desde el 1 de enero de 2023) exige avisos de privacidad que cubran: categorías de datos procesados, fines, derechos del consumidor (acceso, eliminación, corrección, portabilidad, exclusión voluntaria de publicidad dirigida/venta/perfilado), una descripción del proceso de apelación si se niega una solicitud de derechos, y categorías de terceros que reciben datos.
Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Oregón, Texas y otros
A principios de 2026, más de 15 estados de EE. UU. han promulgado leyes integrales de privacidad con requisitos de política de privacidad. Consulte la comparación completa de leyes de privacidad estatales de EE. UU. para más detalles. Si bien los detalles varían, la mayoría sigue la misma plantilla general: divulgar qué recopila, por qué, con quién lo comparte, cuánto tiempo lo conserva, y qué derechos tienen los consumidores. La tendencia es hacia una mayor granularidad, con leyes más recientes que añaden requisitos para divulgaciones de datos sensibles, transparencia en la toma de decisiones automatizada y protecciones de datos de menores.
Requisitos de la política de privacidad del RGPD
El RGPD impone los requisitos de aviso de privacidad más detallados de cualquier marco global. Los Artículos 13 y 14 especifican qué debe divulgarse según si los datos se recopilan directamente del titular de los datos o se obtienen de un tercero.
Requisitos del Artículo 13 (Recopilación directa)
Al recopilar datos personales directamente del titular de los datos, el controlador debe proporcionar:
- Identidad y datos de contacto del controlador (y del representante, si corresponde)
- Datos de contacto del DPO (si existe uno)
- Los fines del procesamiento y la base legal de cada fin
- Los intereses legítimos invocados (si se usa esa base)
- Destinatarios o categorías de destinatarios de los datos
- Si los datos serán transferidos a un tercer país y las salvaguardas vigentes
- Período de retención (o criterios para determinarlo)
- Todos los derechos del titular de los datos: acceso, rectificación, supresión, restricción, portabilidad, oposición
- Derecho a retirar el consentimiento (si el consentimiento es la base legal)
- Derecho a presentar una queja ante una autoridad supervisora
- Si la provisión de datos es un requisito legal o contractual
- Existencia de toma de decisiones automatizada, incluido el perfilado, con información significativa sobre la lógica, el significado y las consecuencias
Adiciones del Artículo 14 (Recopilación indirecta)
Cuando los datos se obtienen de una fuente distinta del titular de los datos, el controlador debe divulgar adicionalmente las categorías de datos personales obtenidos y la fuente de los datos.
Requisito de lenguaje sencillo
El Artículo 12 exige que toda esta información se proporcione en una forma "concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo". Las políticas de privacidad redactadas en jerga legal densa infringen este requisito. Varias autoridades de protección de datos (en particular la CNIL de Francia y la DPC de Irlanda) han citado la falta de transparencia como base para acciones de aplicación.
Sanciones del RGPD
No proporcionar una transparencia adecuada (incluida una política de privacidad insuficiente) puede resultar en multas de hasta 20 millones de euros o el 4% de la facturación anual mundial conforme al Artículo 83(5)(b).
Requisitos de lenguaje sencillo y accesibilidad
Más allá del mandato explícito de lenguaje sencillo del RGPD, varios estándares y leyes de EE. UU. impulsan políticas de privacidad legibles.
La FTC ha enfatizado repetidamente que las políticas de privacidad deben ser comprensibles para el consumidor común. En acciones de aplicación, la FTC ha citado divulgaciones ocultas, declaraciones contradictorias y lenguaje excesivamente técnico como prácticas engañosas.
Puntos de referencia de legibilidad. Si bien ninguna ley de EE. UU. especifica un nivel de lectura para las políticas de privacidad, la mejor práctica (y el estándar utilizado en varias órdenes de consentimiento de la FTC) apunta a un nivel de lectura de 8vo grado. Para los requisitos de divulgación específicos de cookies, consulte nuestra guía de requisitos de banners de cookies. Investigaciones publicadas por la Universidad de Stanford y Carnegie Mellon encontraron que la mayoría de las políticas de privacidad requieren un nivel de lectura universitario, muy por encima de lo que los reguladores esperan.
Requisitos multilingües. El RGPD exige que el aviso de privacidad esté en el idioma de los titulares de datos a quienes se presta servicio. Conforme a la CCPA, las empresas deben proporcionar avisos de privacidad "en los idiomas en los que proporcionan" sus productos o servicios. Las regulaciones de California exigen específicamente que el aviso esté disponible en cada idioma que admita el sitio web o la aplicación.
Accesibilidad. Conforme a la Ley de Estadounidenses con Discapacidades (ADA) y la Sección 508 de la Ley de Rehabilitación, las políticas de privacidad en sitios web gubernamentales y de acceso público deben ser compatibles con lectores de pantalla y cumplir con los estándares WCAG 2.1 AA. Varios tribunales han extendido los requisitos de accesibilidad web de la ADA a los sitios web privados.
Con qué frecuencia actualizar su política de privacidad
Ninguna ley federal de EE. UU. especifica una frecuencia de actualización. Sin embargo, los requisitos prácticos efectivamente exigen revisiones periódicas:
- CCPA: La política debe incluir la fecha de su última actualización y debe ser revisada y actualizada al menos una vez cada 12 meses (Regulaciones de la CCPA 11 CCR 7011).
- CalOPPA: Exige la descripción del proceso para notificar a los usuarios sobre cambios materiales.
- RGPD: No exige una frecuencia de actualización específica, pero la política debe ser precisa en todo momento. Los cambios materiales en las actividades de procesamiento requieren avisos actualizados.
La mejor práctica es revisar la política de privacidad siempre que:
- Se recopile una nueva categoría de datos personales
- Se compartan datos con una nueva categoría de terceros
- Entre en vigor una nueva ley de privacidad en una jurisdicción donde opera
- Cambien los fines de procesamiento
- Ocurra una violación de datos que cambie su postura de seguridad
Errores comunes en la política de privacidad
Varios errores recurrentes exponen a las empresas a riesgos de aplicación:
Plantillas de copiar y pegar. Los generadores genéricos de políticas de privacidad producen políticas que pueden no reflejar con precisión las prácticas reales de datos de la empresa. Los reguladores han multado a empresas por políticas de privacidad que describían prácticas de datos en las que la empresa en realidad no incurría (y viceversa).
Prometer en exceso sobre la eliminación de datos. Declarar que los datos "serán eliminados a solicitud" sin tener en cuenta las obligaciones legales de retención, los sistemas de respaldo o el intercambio de datos con terceros crea una práctica engañosa si la empresa en realidad no puede cumplir la promesa.
Omitir la definición de "venta". Conforme a la CCPA, "venta" incluye compartir información personal a cambio de dinero u "otra contraprestación valiosa". Muchas empresas no divulgan las asociaciones de tecnología publicitaria, el intercambio de análisis y las relaciones con corredores de datos que constituyen una "venta" conforme a esta amplia definición.
Ocultar la exclusión voluntaria. Tanto la CCPA como el RGPD exigen que los mecanismos de exclusión voluntaria y las descripciones de derechos sean fáciles de encontrar. Exigir a los consumidores navegar por múltiples páginas para encontrar enlaces de exclusión voluntaria ha sido citado en acciones de aplicación.
No cubrir todas las fuentes de datos. Las políticas de privacidad a menudo describen la recopilación de datos del sitio web, pero omiten la recopilación de datos fuera de línea, los datos de aplicaciones móviles, los datos de dispositivos IoT o los datos obtenidos de corredores externos.
Fuentes y referencias
Este artículo proporciona información legal general sobre los requisitos de la política de privacidad en jurisdicciones de EE. UU. e internacionales. Las leyes de privacidad cambian con frecuencia y varían según el estado y el país. Consulte a un abogado para obtener asesoría específica sobre su situación.
Preguntas frecuentes
¿Se exige legalmente una política de privacidad para todos los sitios web?
No solo conforme a la ley federal. Sin embargo, la CalOPPA exige que cualquier sitio web o aplicación comercial que recopile información personal de residentes de California publique una política de privacidad, lo que efectivamente cubre a la mayoría de los sitios web orientados a EE. UU. Si procesa datos de residentes de la UE, el RGPD exige de forma independiente un aviso de privacidad. Más de 15 estados de EE. UU. ahora tienen leyes integrales de privacidad con requisitos de aviso.
¿Cuál es la sanción por no tener una política de privacidad?
Conforme a la CalOPPA, el Fiscal General de California puede imponer $2,500 por infracción después de un período de subsanación de 30 días. Conforme a la CCPA, las sanciones alcanzan $2,500 por infracción no intencional y $7,500 por infracción intencional. El RGPD permite multas de hasta 20 millones de euros o el 4% de la facturación anual mundial. Las infracciones a la COPPA conllevan sanciones de hasta $50,120 por infracción.
¿Con qué frecuencia debe actualizarse una política de privacidad?
La CCPA exige una revisión y actualización anual. No existe un requisito de frecuencia federal específico, pero la mejor práctica exige actualizar siempre que cambien las prácticas de recopilación de datos, comience un nuevo intercambio con terceros, o entre en vigor una nueva ley de privacidad en una jurisdicción donde opera. La política siempre debe reflejar con precisión las prácticas actuales.
¿El RGPD exige una política de privacidad?
El RGPD exige un 'aviso de privacidad' o 'información de transparencia' conforme a los Artículos 13 y 14, que funciona como una política de privacidad. Debe divulgar la identidad del controlador de datos, los datos de contacto del DPO, los fines y bases legales del procesamiento, los períodos de retención, los derechos del titular de los datos, e información sobre las transferencias internacionales. Debe estar redactado en un lenguaje claro y sencillo.
¿Qué debe incluir una política de privacidad conforme a la CCPA?
La CCPA exige la divulgación de las categorías de información personal recopilada, los fines de la recopilación, las fuentes de los datos, las prácticas de intercambio y venta con terceros, los períodos de retención de cada categoría, y una descripción de todos los derechos del consumidor con instrucciones para ejercerlos. Las empresas que venden datos deben incluir un enlace de 'No Vender ni Compartir Mi Información Personal'.
¿Necesito una política de privacidad separada para mi aplicación móvil?
Tanto la App Store de Apple como Google Play exigen que las aplicaciones tengan una política de privacidad, y la política debe ser accesible tanto dentro de la aplicación como en la ficha de la tienda de aplicaciones. Si las prácticas de datos de su aplicación difieren de las de su sitio web, se recomienda una política separada o complementaria. La CalOPPA y la CCPA se aplican a las aplicaciones móviles de la misma manera que a los sitios web.
¿Cuáles son los requisitos de política de privacidad de la COPPA para sitios dirigidos a menores?
La COPPA exige que los sitios dirigidos a menores de 13 años divulguen todas las categorías de datos recopilados, cómo se usan los datos, el intercambio con terceros, los derechos parentales (revisar, eliminar, rechazar recopilación adicional), e información de contacto del operador. La política debe enlazarse desde la página de inicio y desde cada página donde se recopilen datos de menores. Se exige el consentimiento parental verificable antes de la recopilación.
¿Puedo usar una plantilla o generador de política de privacidad?
Las plantillas pueden ofrecer un punto de partida, pero los reguladores han multado a empresas por usar políticas genéricas que no describen con precisión sus prácticas de datos reales. Cualquier plantilla debe personalizarse para reflejar las categorías específicas de datos recopilados, las prácticas de intercambio reales, las leyes aplicables y los derechos reales de los consumidores. Una política de privacidad engañosa es peor que una inexistente desde una perspectiva de aplicación.
Fuentes y referencias
- Ley de la FTC, Sección 5 - Actos o Prácticas Injustas o Engañosas(ftc.gov).gov
- COPPA (15 USC 6501-6506)(law.cornell.edu)
- Regla COPPA (16 CFR Parte 312)(law.cornell.edu)
- Aviso de Prácticas de Privacidad de la HIPAA (45 CFR 164.520)(law.cornell.edu)
- CalOPPA (Cal. Bus. & Prof. Code 22575)(leginfo.legislature.ca.gov).gov
- CCPA Sección 1798.100(leginfo.legislature.ca.gov).gov
- Regulaciones de la CPPA (11 CCR 7011)(cppa.ca.gov).gov
- RGPD Artículo 13 - Requisitos de Transparencia(gdpr-info.eu)
- RGPD Artículo 12 - Información y Comunicación Transparente(gdpr-info.eu)
- RGPD Artículo 83 - Multas Administrativas(gdpr-info.eu)
- Regla de Privacidad de la GLBA (Reglamento P)(law.cornell.edu)