Leyes de Cookies en EE. UU.: Guía Estado por Estado (2026)
Estados Unidos no tiene una ley federal de cookies. En su lugar, veinte estados han promulgado leyes integrales de privacidad que regulan cómo las cookies recopilan y comparten información personal, todas usando un modelo de exclusión (opt-out) en el que el rastreo comienza de forma predeterminada. La CCPA/CPRA de California, la más completa, exige la exclusión tanto de la venta como del intercambio de datos personales.
Estados Unidos no tiene una ley federal que rija las cookies ni que exija el consentimiento de cookies. En su lugar, un número creciente de estados ha promulgado leyes integrales de privacidad que regulan la recopilación, el uso y el intercambio de información personal a través de cookies y tecnologías de rastreo. Estas leyes no exigen los banners de consentimiento de inclusión de estilo europeo que se ven en los sitios web europeos. En su lugar, otorgan a los consumidores el derecho de excluirse de ciertas prácticas de datos, incluyendo la publicidad dirigida y la venta de información personal.
A partir de marzo de 2026, veinte estados han promulgado leyes integrales de privacidad, la mayoría vigentes entre 2023 y 2026. Esta guía cubre los requisitos de cada estado en relación con las cookies y el rastreo en línea, las distinciones clave entre sus enfoques y orientación práctica de cumplimiento para las empresas que operan en múltiples estados.
Cómo las Leyes Estatales de Privacidad de EE. UU. Afectan a las Cookies
Las leyes estatales de privacidad de EE. UU. no regulan directamente a las cookies como tecnología. En su lugar, regulan la información personal que las cookies recopilan y cómo se usa, vende o comparte esa información. La conexión con las cookies llega a través de tres actividades principales:
Publicidad dirigida. Cuando un sitio web usa cookies publicitarias para construir un perfil de un visitante y mostrar anuncios personalizados, la mayoría de las leyes estatales de privacidad exigen que el consumidor pueda excluirse de esta práctica.
Venta de información personal. Cuando los datos de cookies (historial de navegación, identificadores de dispositivos, geolocalización) se transfieren a terceros a cambio de dinero u otra contraprestación de valor, las leyes estatales clasifican esto como una "venta" que los consumidores pueden rechazar.
Intercambio para publicidad de comportamiento entre contextos. La CPRA de California introdujo este concepto, que cubre la transferencia de información personal a terceros con fines publicitarios incluso cuando no hay intercambio de dinero. Esto abarca la mayoría de los acuerdos de cookies publicitarias.
Requisitos Estado por Estado
California: CCPA/CPRA
La Ley de Privacidad del Consumidor de California (CCPA), enmendada por la Ley de Derechos de Privacidad de California (CPRA), es la ley estatal de privacidad más completa de EE. UU. Entró en vigor el 1 de enero de 2020, con las enmiendas de la CPRA vigentes desde el 1 de enero de 2023.
Requisitos relacionados con cookies:
- Las empresas deben mostrar un enlace "Do Not Sell or Share My Personal Information" en su página de inicio
- Deben mostrar un enlace "Limit the Use of My Sensitive Personal Information" si aplica
- Deben respetar la señal del navegador Control de Privacidad Global (GPC) como una exclusión válida
- Deben proporcionar una política de privacidad que divulgue las categorías de información personal recopilada, vendida e intercambiada
- Se requiere consentimiento de inclusión antes de vender la información personal de consumidores menores de 16 años
Se aplica a: Empresas con ingresos brutos anuales superiores a $25 millones, o que compran/venden/comparten la información personal de 100,000 o más residentes de California, o que obtienen el 50% o más de sus ingresos anuales de la venta/intercambio de información personal de residentes de California.
Aplicación: Agencia de Protección de la Privacidad de California (CPPA) y el Fiscal General de California. Sanciones: $2,500 por infracción no intencional, $7,500 por infracción intencional. El Fiscal General ha perseguido específicamente la aplicación contra empresas que no respetan el GPC.
Colorado: Ley de Privacidad de Colorado (CPA)
La Ley de Privacidad de Colorado (CPA) entró en vigor el 1 de julio de 2023.
Requisitos relacionados con cookies:
- Los consumidores pueden excluirse de la publicidad dirigida y la venta de datos personales
- Deben respetar los mecanismos de exclusión universal (incluyendo el GPC) a partir del 1 de julio de 2024
- Deben realizar evaluaciones de protección de datos para las actividades de publicidad dirigida
- Deben proporcionar mecanismos de exclusión claros "de una manera claramente visible"
Se aplica a: Empresas que controlan o procesan los datos personales de 100,000 o más residentes de Colorado anualmente, o de 25,000 o más residentes mientras obtienen ingresos de la venta de datos personales.
Aplicación: Fiscal General de Colorado. El Fiscal General emitió especificaciones técnicas para los mecanismos de exclusión universal en 2024.
Connecticut: Ley de Privacidad de Datos de Connecticut (CTDPA)
La Ley de Privacidad de Datos de Connecticut entró en vigor el 1 de julio de 2023.
Requisitos relacionados con cookies:
- Derechos de exclusión para la publicidad dirigida, la venta de datos personales y el perfilamiento
- Deben respetar los mecanismos de exclusión universal (incluyendo el GPC) a partir del 1 de enero de 2025
- Deben proporcionar un enlace "claro y visible" para los mecanismos de exclusión
- Se requieren evaluaciones de protección de datos para la publicidad dirigida
Se aplica a: Empresas que controlan o procesan los datos personales de 100,000 o más residentes de Connecticut, o de 25,000 o más mientras obtienen más del 25% de sus ingresos brutos de la venta de datos personales.
Aplicación: Fiscal General de Connecticut.
Virginia: Ley de Protección de Datos del Consumidor de Virginia (VCDPA)
La Ley de Protección de Datos del Consumidor (VCDPA) de Virginia entró en vigor el 1 de enero de 2023.
Requisitos relacionados con cookies:
- Los consumidores pueden excluirse de la publicidad dirigida y la venta de datos personales
- Deben proporcionar un mecanismo de exclusión "razonablemente accesible, claro y significativo"
- NO exige el reconocimiento de mecanismos de exclusión universal como el GPC
- Se requieren evaluaciones de protección de datos para las actividades de publicidad dirigida
Se aplica a: Empresas que controlan o procesan los datos personales de 100,000 o más residentes de Virginia, o de 25,000 o más mientras obtienen más del 50% de sus ingresos brutos de la venta de datos personales.
Aplicación: Exclusivamente el Fiscal General de Virginia. No hay derecho de acción privado.
Texas: Ley de Privacidad y Seguridad de Datos de Texas (TDPSA)
La Ley de Privacidad y Seguridad de Datos de Texas entró en vigor el 1 de julio de 2024.
Requisitos relacionados con cookies:
- Derechos de exclusión para la publicidad dirigida, la venta de datos personales y el perfilamiento
- Deben respetar los mecanismos de exclusión universal a partir del 1 de enero de 2025
- Deben proporcionar "uno o más medios seguros y confiables" para que los consumidores presenten solicitudes de exclusión
- La excepción de pequeña empresa NO se aplica a la venta de datos personales sensibles
Se aplica a: Empresas que hacen negocios en Texas o producen productos/servicios consumidos por residentes de Texas Y procesan o venden datos personales (pero que NO son pequeñas empresas según la definición de la SBA, a menos que vendan datos sensibles).
Aplicación: Fiscal General de Texas. Sanciones civiles de hasta $25,000 por infracción.
Oregón: Ley de Privacidad del Consumidor de Oregón (OCPA)
La Ley de Privacidad del Consumidor de Oregón entró en vigor el 1 de julio de 2024.
Requisitos relacionados con cookies:
- Derechos de exclusión para la publicidad dirigida, la venta de datos personales y el perfilamiento
- Deben respetar los mecanismos de exclusión universal (incluyendo el GPC) a partir del 1 de enero de 2025
- Las organizaciones sin fines de lucro están incluidas (a diferencia de la mayoría de las demás leyes estatales)
- Deben proporcionar un método "claro y visible" para ejercer los derechos de exclusión
Se aplica a: Empresas que controlan o procesan los datos personales de 100,000 o más residentes de Oregón, o de 25,000 o más mientras obtienen el 25% o más de sus ingresos brutos de la venta de datos personales.
Aplicación: Fiscal General de Oregón.
Montana: Ley de Privacidad de Datos del Consumidor de Montana (MCDPA)
La ley de privacidad de Montana entró en vigor el 1 de octubre de 2024.
Requisitos relacionados con cookies:
- Derechos de exclusión para la publicidad dirigida y la venta de datos personales
- Deben respetar los mecanismos de exclusión universal a partir del 1 de enero de 2025
- Umbrales de aplicabilidad bajos dado el reducido tamaño de la población de Montana
Se aplica a: Empresas que controlan o procesan los datos personales de 50,000 o más residentes de Montana (excluyendo los datos de transacciones de pago), o de cualquier número de residentes mientras obtienen el 25% o más de sus ingresos brutos de las ventas de datos.
Aplicación: Fiscal General de Montana.
Estados Adicionales con Leyes de Privacidad Relacionadas con Cookies
Varios estados adicionales han promulgado leyes de privacidad que entran en vigor en 2025 y 2026.
Delaware (vigente desde el 1 de enero de 2025): Se aplica a las empresas que procesan datos de 35,000 o más residentes (o 10,000 o más mientras venden datos). Exige el reconocimiento de mecanismos de exclusión universal.
Nuevo Hampshire (vigente desde el 1 de enero de 2025): Se aplica a las empresas que procesan datos de 35,000 o más residentes. Exige el reconocimiento de mecanismos de exclusión universal.
Nueva Jersey (vigente desde el 15 de enero de 2025): Se aplica a las empresas que procesan datos de 100,000 o más residentes (o 25,000 o más mientras venden datos). Exige el reconocimiento de mecanismos de exclusión universal.
Nebraska (vigente desde el 1 de enero de 2025): Se aplica de manera amplia a las empresas que procesan datos personales, sin un umbral mínimo. Exige el reconocimiento de mecanismos de exclusión universal.
Iowa (vigente desde el 1 de enero de 2025): Se aplica a las empresas que procesan datos de 100,000 o más residentes. NO exige el reconocimiento de la exclusión universal.
Tennessee (vigente desde el 1 de julio de 2025): Se aplica a las empresas con ingresos de $25 millones o más que procesan datos de 175,000 o más residentes. NO exige el reconocimiento de la exclusión universal.
Indiana (vigente desde el 1 de enero de 2026): Se aplica a las empresas que procesan datos de 100,000 o más residentes. NO exige el reconocimiento de la exclusión universal.
Kentucky (vigente desde el 1 de enero de 2026): Se aplica a las empresas que procesan datos de 100,000 o más residentes. El reconocimiento de la exclusión universal se determinará mediante reglamentos.
Maryland (vigente desde el 1 de octubre de 2025): Notablemente más estricta que la mayoría de los estados. El principio de minimización exige que la recopilación de datos se limite a lo "razonablemente necesario." Restringe por completo la publicidad dirigida a menores.
Minnesota (vigente desde el 31 de julio de 2025): Incluye derechos de exclusión de publicidad dirigida. Exige evaluaciones de protección de datos.
Tabla Comparativa Estado por Estado
| Estado | Vigencia | GPC/Exclusión Universal Requerida | Exclusión de Venta | Exclusión de Anuncios Dirigidos | Umbral |
|---|---|---|---|---|---|
| California | ene 2020 / ene 2023 | Sí | Sí | Sí | $25M ingresos o 100K consumidores |
| Virginia | ene 2023 | No | Sí | Sí | 100K residentes |
| Colorado | jul 2023 | Sí (jul 2024) | Sí | Sí | 100K residentes |
| Connecticut | jul 2023 | Sí (ene 2025) | Sí | Sí | 100K residentes |
| Utah | dic 2023 | No | Sí | Sí | $25M ingresos + 100K residentes |
| Texas | jul 2024 | Sí (ene 2025) | Sí | Sí | No ser pequeña empresa SBA |
| Oregón | jul 2024 | Sí (ene 2025) | Sí | Sí | 100K residentes |
| Montana | oct 2024 | Sí (ene 2025) | Sí | Sí | 50K residentes |
| Delaware | ene 2025 | Sí | Sí | Sí | 35K residentes |
| Nuevo Hampshire | ene 2025 | Sí | Sí | Sí | 35K residentes |
| Nueva Jersey | ene 2025 | Sí | Sí | Sí | 100K residentes |
| Nebraska | ene 2025 | Sí | Sí | Sí | Sin umbral |
| Iowa | ene 2025 | No | Sí | Sí | 100K residentes |
| Maryland | oct 2025 | Por determinar | Sí | Sí | 35K residentes |
| Minnesota | jul 2025 | Por determinar | Sí | Sí | 100K residentes |
| Tennessee | jul 2025 | No | Sí | Sí | 175K residentes |
| Indiana | ene 2026 | No | Sí | Sí | 100K residentes |
| Kentucky | ene 2026 | Por determinar | Sí | Sí | 100K residentes |
Mecanismos de Exclusión Universal y el GPC
El Control de Privacidad Global (GPC) es una señal a nivel de navegador especificada en globalprivacycontrol.org. Cuando está activado, el GPC envía una señal técnica (el encabezado HTTP Sec-GPC: 1) con cada solicitud web, comunicando la preferencia del usuario de excluirse de la venta o el intercambio de su información personal.
¿Qué Estados Exigen el Reconocimiento del GPC?
A partir de marzo de 2026, nueve estados exigen explícitamente que las empresas respeten los mecanismos de exclusión universal: California, Colorado, Connecticut, Texas, Oregón, Montana, Delaware, Nuevo Hampshire, Nueva Jersey y Nebraska. Estados adicionales (Maryland, Minnesota, Kentucky) tienen disposiciones para la exclusión universal que se aclararán mediante reglamentación.
Cómo Funciona el GPC Técnicamente
Cuando un usuario activa el GPC en su navegador (integrado en Firefox, Brave y DuckDuckGo; disponible como extensión para Chrome y otros navegadores), el navegador envía un encabezado Sec-GPC: 1 con cada solicitud HTTP y establece navigator.globalPrivacyControl = true en el entorno de JavaScript.
Los sitios web deben detectar esta señal y suprimir las prácticas de datos cubiertas por las leyes estatales aplicables (venta, intercambio, publicidad dirigida) sin requerir ninguna acción adicional del usuario. La exclusión debe aplicarse automáticamente, sin mostrar un banner que le pida al usuario confirmar.
GPC frente a Do Not Track (DNT)
El GPC se diferencia de la señal más antigua Do Not Track (DNT) de una manera fundamental: el GPC tiene respaldo legal. La CCPA/CPRA y otras leyes estatales exigen que las empresas respeten el GPC. El DNT era un estándar voluntario sin mecanismo de aplicación legal, y la industria publicitaria lo ignoró ampliamente. La FTC ha señalado su apoyo al GPC en acciones de aplicación, estableciendo aún más su peso legal.
Inclusión (Opt-In) frente a Exclusión (Opt-Out): Entendiendo el Enfoque de EE. UU.
La diferencia fundamental entre la ley de EE. UU. y la ley de cookies de la UE es la configuración predeterminada. En la UE, el rastreo está desactivado hasta que el usuario lo activa (inclusión). En EE. UU., el rastreo está activado hasta que el usuario lo desactiva (exclusión).
Por Qué EE. UU. Usa el Modelo de Exclusión
El enfoque de EE. UU. refleja una filosofía legal diferente. La ley de privacidad de EE. UU. tradicionalmente trata la recopilación de información personal como permisible a menos que esté restringida, colocando la carga en el consumidor de objetar. El enfoque de la UE trata los datos personales como pertenecientes a la persona, exigiendo justificación para cualquier recopilación.
Excepciones: Cuándo la Ley de EE. UU. Exige Inclusión
Existen excepciones limitadas al modelo de exclusión de EE. UU.:
- Datos de niños bajo la COPPA: La Ley federal de Protección de la Privacidad Infantil en Línea (COPPA) exige el consentimiento parental verificable antes de recopilar información personal de niños menores de 13 años
- Menores de California (13-15): La CCPA/CPRA exige el consentimiento de inclusión antes de vender la información personal de consumidores entre 13 y 15 años
- Datos sensibles en algunos estados: Maryland y otros estados con leyes más estrictas pueden exigir la inclusión para ciertas categorías de datos sensibles
Cumplimiento Práctico para Operaciones en Múltiples Estados
Opción 1: Exclusión Universal (Recomendado)
El enfoque más simple para las empresas que operan a nivel nacional es implementar un único mecanismo de exclusión que respete las solicitudes de todos los visitantes sin importar el estado. Esto evita la complejidad de la geolocalización y la lógica específica por estado.
Un enfoque universal incluye:
- Un enlace "Do Not Sell or Share My Personal Information" en el pie de página y en la política de privacidad
- Detección automática del GPC que suprime la publicidad dirigida y el intercambio de datos cuando la señal está presente
- Un centro de preferencias de privacidad donde los usuarios pueden administrar sus opciones de datos
- Respeto automático de las solicitudes de exclusión para la publicidad dirigida, las ventas de datos y el intercambio de datos
Opción 2: Geolocalización Específica por Estado
Las organizaciones que desean maximizar la recopilación de datos en estados sin leyes de privacidad pueden implementar un cumplimiento basado en geolocalización. Este enfoque usa la geolocalización por IP para determinar el estado del visitante y muestra los mecanismos de exclusión únicamente donde se exige legalmente.
Las desventajas de este enfoque incluyen la complejidad de implementación, el riesgo de identificación incorrecta (VPN, usuarios móviles que cruzan límites estatales) y el riesgo reputacional de parecer respetar la privacidad solo donde se exige legalmente.
Opción 3: Línea Base Nacional + Elementos Adicionales de California
Un enfoque intermedio proporciona mecanismos básicos de exclusión a nivel nacional (satisfaciendo la mayoría de las leyes estatales) mientras agrega elementos específicos de California (los enlaces "Do Not Sell or Share" y "Limit Sensitive Information," el reconocimiento del GPC y la verificación de edad para menores) para los visitantes de California.
Legislación Federal de Privacidad: Aún Pendiente
A partir de marzo de 2026, el Congreso no ha aprobado una ley federal integral de privacidad. Consulte nuestra comparación de leyes estatales de privacidad de datos para conocer el panorama actual. La Ley de Derechos de Privacidad Estadounidense (APRA) avanzó a través de comité en 2024, pero no recibió una votación completa. Si se promulga una ley federal, podría anular el mosaico estado por estado y establecer requisitos nacionales uniformes para las cookies y las tecnologías de rastreo.
Hasta que se apruebe la legislación federal, las empresas deben navegar de manera independiente el número creciente de leyes estatales.
Esta es información legal general, no asesoría legal. Las leyes estatales de privacidad están evolucionando rápidamente, con nuevas leyes entrando en vigor y leyes existentes siendo enmendadas mediante reglamentación. Consulte a un abogado de privacidad para obtener asesoría específica sobre las operaciones de su empresa y los estados donde opera.
Preguntas frecuentes
¿Algún estado de EE. UU. exige un consentimiento de cookies de inclusión al estilo europeo?
No. A partir de marzo de 2026, ningún estado de EE. UU. exige un consentimiento afirmativo de inclusión antes de colocar cookies en el dispositivo de un usuario. Todas las leyes estatales de privacidad de EE. UU. usan un modelo de exclusión, en el que el rastreo comienza de forma predeterminada y los consumidores pueden solicitar que se detenga. Los únicos requisitos de inclusión se relacionan con categorías específicas: la COPPA exige el consentimiento parental para niños menores de 13 años a nivel nacional, y California exige el consentimiento de inclusión antes de vender la información personal de consumidores de 13 a 15 años.
¿Qué es el Control de Privacidad Global (GPC) y qué estados lo exigen?
El GPC es una señal del navegador que comunica la preferencia de un usuario de excluirse de la venta o el intercambio de información personal. Nueve estados exigen que las empresas respeten el GPC: California, Colorado, Connecticut, Texas, Oregón, Montana, Delaware, Nuevo Hampshire, Nueva Jersey y Nebraska. El GPC está integrado en los navegadores Firefox, Brave y DuckDuckGo, y disponible como extensión para Chrome. Cuando se detecta, los sitios web deben suprimir automáticamente las ventas de datos y la publicidad dirigida sin requerir ninguna acción adicional del usuario.
¿Qué ley estatal de privacidad es la más estricta en materia de cookies y rastreo?
La CCPA/CPRA de California sigue siendo la más completa. Tiene la definición más amplia de "venta" (ampliada por la CPRA para incluir el "intercambio" con fines publicitarios), el reconocimiento obligatorio del GPC, una agencia de aplicación dedicada (la CPPA) y sanciones de $7,500 por infracción intencional. La ley de Maryland (vigente desde octubre de 2025) es notablemente estricta en materia de minimización de datos y restringe por completo la publicidad dirigida a menores, lo que puede tener implicaciones significativas para el rastreo basado en cookies.
¿Necesito un enlace "Do Not Sell My Personal Information" en mi sitio web?
Si su empresa vende información personal o la intercambia para publicidad de comportamiento entre contextos y cumple con los umbrales de aplicabilidad, California exige este enlace. Colorado, Connecticut, Virginia, Texas, Oregón y otros estados con leyes integrales de privacidad exigen mecanismos de exclusión similares. Si usted usa cookies publicitarias que intercambian datos con redes publicitarias o corredores de datos, probablemente necesite este enlace. El enfoque más seguro es mostrarlo para todos los visitantes.
¿Cómo define la CCPA la "venta" de información personal a través de cookies?
La CCPA define la "venta" de manera amplia como la transferencia de información personal a un tercero a cambio de una contraprestación monetaria u otra de valor. La enmienda de la CPRA agregó el "intercambio," definido como la transferencia de información personal para publicidad de comportamiento entre contextos, incluso sin intercambio monetario. Esto significa que el uso de cookies publicitarias de redes como Google Ads o Meta, donde los datos de las cookies fluyen hacia la plataforma publicitaria para mostrar anuncios dirigidos, constituye "intercambio" bajo la CPRA, incluso si no hay un intercambio directo de dinero por los datos.
¿Qué sucede si mi empresa opera en un estado sin una ley de privacidad?
En los estados sin leyes integrales de privacidad, no hay requisitos a nivel estatal para los mecanismos de exclusión de cookies. Sin embargo, la prohibición de la Ley federal de la FTC sobre prácticas desleales o engañosas sigue aplicándose. Si su política de privacidad hace promesas sobre prácticas de datos o derechos de exclusión, la FTC puede hacer cumplir esas promesas. Las empresas también deben prepararse para nuevas leyes estatales, ya que el ritmo de la legislación estatal de privacidad se ha acelerado significativamente desde 2023.
¿Existen reglas diferentes para los datos personales sensibles recopilados a través de cookies?
Varios estados distinguen entre los datos personales generales y los datos personales sensibles. California exige un enlace "Limit the Use of My Sensitive Personal Information" si los datos sensibles se usan más allá de lo necesario. Los datos de geolocalización precisa (recopilados a través de cookies o scripts) se clasifican como sensibles en California, Colorado, Connecticut, Virginia y la mayoría de las demás leyes estatales de privacidad. Procesar datos sensibles a través de cookies puede activar obligaciones adicionales, incluyendo evaluaciones de impacto en la protección de datos.
¿Puedo simplemente aplicar las reglas de un estado a nivel nacional en lugar de rastrear cada estado?
Sí, y muchos profesionales de privacidad recomiendan este enfoque. Aplicar los [requisitos de la CCPA/CPRA de California](/us-laws/data-privacy-laws/california-data-privacy-laws/ccpa-compliance-checklist) (el estándar más estricto de EE. UU.) a nivel nacional satisface los requisitos de todas las demás leyes estatales de privacidad. Esto significa mostrar enlaces de exclusión, respetar el GPC, proporcionar una política de privacidad con las divulgaciones requeridas e implementar procesos para las solicitudes de derechos del consumidor. La simplicidad de un único estándar de cumplimiento a menudo supera el costo marginal de proporcionar mecanismos de exclusión a los residentes de estados que aún no los exigen.
Fuentes y referencias
- CCPA/CPRA de California(oag.ca.gov).gov
- Reglamentos de la CPPA(cppa.ca.gov).gov
- Ley de Privacidad de Colorado(coag.gov).gov
- Ley de Privacidad de Datos de Connecticut(portal.ct.gov).gov
- VCDPA de Virginia(law.lis.virginia.gov).gov
- Texas HB 4 (TDPSA)(capitol.texas.gov).gov
- Ley de Privacidad del Consumidor de Oregón(oregonlegislature.gov).gov
- Control de Privacidad Global(globalprivacycontrol.org)
- Regla COPPA de la FTC(ftc.gov).gov
- Aplicación de la FTC contra Flo Health(ftc.gov).gov