Tabla Comparativa de Leyes Estatales de Privacidad de EE. UU. (2026)
A partir de marzo de 2026, 20 estados de EE. UU. han promulgado leyes integrales de privacidad de datos del consumidor, con la CCPA/CPRA de California a la cabeza. Las 20 leyes otorgan a los residentes derechos de acceso, eliminación y exclusión de las ventas de datos, aunque los umbrales de aplicabilidad, las reglas de datos sensibles y las sanciones de aplicación varían significativamente según el estado.
EE. UU. no tiene una única ley federal integral de privacidad de datos. En su lugar, un mosaico creciente de legislación estatal rige cómo las empresas recopilan, usan y comparten los datos personales de los consumidores. Cada ley estatal difiere en alcance, derechos del consumidor, mecanismos de aplicación y obligaciones empresariales.
Esta guía proporciona una comparación lado a lado de cada estado de EE. UU. que ha promulgado una ley integral de privacidad de datos del consumidor a partir de marzo de 2026, cubriendo los umbrales de aplicabilidad, los derechos del consumidor, las reglas de datos sensibles, las disposiciones de aplicación y las características distintivas clave.
Panorama de las Leyes Estatales de Privacidad Promulgadas
Los siguientes estados han promulgado estatutos integrales de privacidad de datos del consumidor (enumerados en orden de promulgación/firma):
- California - CCPA (2018) / CPRA (2020, vigente desde 2023)
- Virginia - VCDPA (2021, vigente desde ene 2023)
- Colorado - CPA (2021, vigente desde jul 2023)
- Connecticut - CTDPA (2022, vigente desde jul 2023)
- Utah - UCPA (2022, vigente desde dic 2023)
- Iowa - ICDPA (2023, vigente desde ene 2025)
- Indiana - ICDPA (2023, vigente desde ene 2026)
- Tennessee - TIPA (2023, vigente desde jul 2025)
- Montana - MCDPA (2023, vigente desde oct 2024)
- Oregón - OCPA (2023, vigente desde jul 2024)
- Texas - TDPSA (2023, vigente desde jul 2024)
- Florida - FDBR (2023, vigente desde jul 2024)
- Delaware - DPDPA (2023, vigente desde ene 2025)
- Nuevo Hampshire - (2024, vigente desde ene 2025)
- Nueva Jersey - NJDPA (2024, vigente desde ene 2025)
- Kentucky - KCDPA (2024, vigente desde ene 2026)
- Nebraska - NDPA (2024, vigente desde ene 2025)
- Minnesota - MCDPA (2024, vigente desde jul 2025)
- Maryland - MODPA (2024, vigente desde oct 2025)
- Rhode Island - RIDTPPA (2024, vigente desde ene 2026)
Varios estados adicionales tienen legislación de privacidad activa en curso, y esta lista puede ampliarse durante las sesiones legislativas de 2026 y 2027.
Umbrales de Aplicabilidad
Una de las preguntas prácticas más importantes para cualquier empresa: ¿me aplica esta ley? Los umbrales varían significativamente.
| Estado | Umbral de Ingresos | Umbral de Procesamiento de Datos | Condiciones Adicionales |
|---|---|---|---|
| California | $25M ingresos brutos | 100,000+ consumidores/hogares O 50%+ ingresos de venta/intercambio de información personal | Cualquiera de los tres disparadores |
| Virginia | Ninguno | 100,000+ consumidores O 25,000+ consumidores si obtienen ingresos de ventas de datos | Año calendario |
| Colorado | Ninguno | 100,000+ consumidores O 25,000+ consumidores + ingresos de ventas de datos | Año calendario |
| Connecticut | Ninguno | 100,000+ consumidores O 25,000+ consumidores + ingresos de ventas de datos | Excluye entidades gubernamentales de Connecticut |
| Utah | $25M ingresos brutos | 100,000+ consumidores O 25,000+ consumidores + 50%+ ingresos de ventas de datos | Se requieren tanto el umbral de ingresos COMO el de datos |
| Iowa | Ninguno | 100,000+ consumidores O 25,000+ consumidores + 50%+ ingresos de ventas de datos | Año calendario |
| Indiana | Ninguno | 100,000+ consumidores O 25,000+ consumidores + 50%+ ingresos de ventas de datos | Año calendario |
| Tennessee | $25M ingresos | 175,000+ consumidores O 25,000+ consumidores + 50%+ ingresos de ventas de datos | Umbral de ingresos Y de datos |
| Montana | Ninguno | 50,000+ consumidores O 25,000+ consumidores + ingresos de ventas de datos | Umbral de consumidores más bajo |
| Oregón | Ninguno | 100,000+ consumidores O 25,000+ consumidores + ingresos de ventas de datos | Incluye organizaciones sin fines de lucro |
| Texas | Ninguno | Sin umbral de volumen de datos | Se aplica a todas las entidades que hacen negocios en Texas y procesan datos personales (excluyendo a las pequeñas empresas según la definición de la SBA) |
| Florida | $1,000M ingresos brutos | N/A | También exige: operaciones significativas en FL, 50%+ de ingresos de ventas publicitarias, u operar una plataforma con 100M+ de usuarios activos mensuales |
| Delaware | Ninguno | 35,000+ consumidores O 10,000+ consumidores + ingresos de ventas de datos | Umbrales más bajos |
| Nuevo Hampshire | Ninguno | 35,000+ consumidores O 10,000+ consumidores + ingresos de ventas de datos | Umbrales más bajos |
| Nueva Jersey | Ninguno | 100,000+ consumidores O 25,000+ consumidores + ingresos de ventas de datos | Año calendario |
| Kentucky | Ninguno | 100,000+ consumidores O 25,000+ consumidores + ingresos de ventas de datos | Año calendario |
| Nebraska | Ninguno | Sin umbral de volumen de datos | Se aplica a todas las entidades que procesan datos personales de residentes de Nebraska (excluyendo a las pequeñas empresas) |
| Minnesota | Ninguno | 100,000+ consumidores O 25,000+ consumidores + ingresos de ventas de datos | Año calendario |
| Maryland | Ninguno | 35,000+ consumidores O 10,000+ consumidores + ingresos de ventas de datos | Umbrales más bajos |
| Rhode Island | Ninguno | 35,000+ consumidores O 10,000+ consumidores + ingresos de ventas de datos | Umbrales más bajos |
Casos atípicos notables: el umbral de ingresos de $1,000 millones de Florida limita la ley a grandes corporaciones y plataformas tecnológicas grandes. Texas y Nebraska se aplican de manera amplia a todas las empresas que procesan datos personales (con exenciones para pequeñas empresas). El umbral de 50,000 consumidores de Montana es el más bajo entre los estados que usan ese modelo.
Comparación de Derechos del Consumidor
Todas las leyes estatales de privacidad promulgadas proporcionan un conjunto básico de derechos del consumidor, pero los derechos específicos y su alcance varían.
| Derecho | CA | VA | CO | CT | UT | IA | IN | TN | MT | OR | TX | FL | DE | NH | NJ | KY | NE | MN | MD | RI |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Acceso | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Eliminación | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Portabilidad | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Exclusión de venta | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Exclusión de anuncios dirigidos | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Exclusión de perfilamiento | Sí | Sí | Sí | Sí | No | No | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
| Corrección | Sí | Sí | Sí | Sí | No | No | No | No | Sí | Sí | Sí | No | Sí | Sí | Sí | No | Sí | Sí | Sí | Sí |
| Apelación | No | Sí | Sí | Sí | No | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí | Sí |
California es la única que otorga el derecho a saber qué piezas específicas de información personal ha recopilado una empresa (no solo categorías) y el derecho a limitar el uso de la información personal sensible. Oregón destaca por otorgar a los consumidores el derecho de obtener una lista de los terceros específicos a quienes se ha divulgado sus datos.
La ley de Minnesota es distintiva al otorgar a los consumidores el derecho de cuestionar los resultados del perfilamiento y de ser informados sobre los tipos de perfilamiento que realiza un controlador. La MODPA de Maryland adopta un enfoque restrictivo al exigir que las empresas limiten la recopilación de datos a lo razonablemente necesario para el propósito divulgado al consumidor, un estándar de minimización de datos más estricto que el de la mayoría de las demás leyes estatales.
Tratamiento de Datos Sensibles
La forma en que cada estado maneja los datos personales sensibles revela diferencias importantes en la filosofía de privacidad.
| Estado | Modelo de Consentimiento para Datos Sensibles | Categorías de Datos Sensibles |
|---|---|---|
| California | Derecho a limitar el uso (exclusión) | SSN, datos financieros, geolocalización precisa, raza, religión, salud, vida sexual, datos biométricos, contenido de comunicaciones, datos genéticos |
| Virginia | Se requiere consentimiento de inclusión | Raza, religión, salud, vida sexual, ciudadanía/inmigración, datos genéticos, biométricos, datos de niños, geolocalización precisa |
| Colorado | Se requiere consentimiento de inclusión | Igual que Virginia |
| Connecticut | Se requiere consentimiento de inclusión | Igual que Virginia |
| Utah | Se requiere consentimiento de inclusión | Raza, religión, salud, vida sexual, ciudadanía, datos biométricos, genéticos, geolocalización, datos de niños |
| Iowa | Se requiere consentimiento de inclusión | Raza, religión, salud, vida sexual, ciudadanía, datos biométricos, genéticos, geolocalización, datos de niños |
| Oregón | Se requiere consentimiento de inclusión | Definición amplia que incluye raza, religión, salud, vida sexual, ciudadanía, datos biométricos, genéticos, estatus transgénero/no binario, geolocalización precisa, datos de niños |
| Texas | Se requiere consentimiento de inclusión | Raza, religión, salud, vida sexual, ciudadanía, datos biométricos, genéticos, geolocalización precisa, datos de niños |
| Montana | Se requiere consentimiento de inclusión | Categorías estándar similares a las de Virginia |
| Delaware | Se requiere consentimiento de inclusión | Categorías estándar más estatus de inmigración |
| Minnesota | Se requiere consentimiento de inclusión | Definición amplia; incluye ubicación precisa, datos de niños, identidad de género |
| Maryland | Se requiere consentimiento de inclusión; se prohíbe la venta/el intercambio | Categorías estándar; prohíbe por completo la venta de datos sensibles |
| Nebraska | Se requiere consentimiento de inclusión | Categorías estándar similares a las de Virginia |
Oregón destaca por incluir explícitamente el estatus transgénero y no binario como dato sensible. La MODPA de Maryland va más allá que cualquier otro estado al prohibir por completo la venta de datos personales sensibles, no solo exigir el consentimiento de inclusión.
La mayoría de las leyes estatales tratan los datos de niños como información personal sensible. El umbral de edad es típicamente 13 años (alineado con la COPPA), aunque Connecticut aplica protecciones reforzadas para los datos de consumidores de 13 a 15 años en el contexto de la publicidad dirigida.
Aplicación y Sanciones
| Estado | Autoridad de Aplicación | Sanción Máxima | Derecho de Acción Privado | Período de Subsanación |
|---|---|---|---|---|
| California | Fiscal General + CPPA | $7,500/infracción intencional | Sí (solo violaciones de datos) | 30 días (solo el Fiscal General; CPPA: ninguno) |
| Virginia | Fiscal General | $7,500/infracción | No | 30 días |
| Colorado | Fiscal General | $20,000/infracción | No | 60 días (vence ene 2025) |
| Connecticut | Fiscal General | $5,000/infracción (CUTPA) | No | 60 días (vence dic 2024) |
| Utah | Fiscal General | $7,500/infracción | No | 30 días |
| Iowa | Fiscal General | $7,500/infracción | No | 90 días |
| Indiana | Fiscal General | $7,500/infracción | No | 30 días |
| Tennessee | Fiscal General | $7,500/infracción | No | 60 días |
| Montana | Fiscal General | $7,500/infracción | No | 60 días |
| Oregón | Fiscal General | $7,500/infracción | No | 30 días (vence ene 2026) |
| Texas | Fiscal General | $7,500/infracción | No | 30 días |
| Florida | Fiscal General (Depto. de Asuntos Legales) | $50,000/infracción | No | 45 días |
| Delaware | Fiscal General (DOJ) | $10,000/infracción | No | 60 días (vence dic 2025) |
| Nuevo Hampshire | Fiscal General | $10,000/infracción | No | 60 días |
| Nueva Jersey | Fiscal General (DCA) | $10,000/primera; $20,000/subsiguiente | No | 30 días (vence jul 2026) |
| Kentucky | Fiscal General | $7,500/infracción | No | 30 días |
| Nebraska | Fiscal General | $7,500/infracción | No | 30 días |
| Minnesota | Fiscal General | $7,500/infracción | No | 30 días |
| Maryland | Fiscal General (DCP) | $10,000/infracción; $25,000/subsiguiente | No | 60 días (vence abr 2027) |
| Rhode Island | Fiscal General | $10,000/infracción | No | 30 días |
California sigue siendo el único estado con un derecho de acción privado (limitado a violaciones de datos que involucren información personal sin cifrar), con daños estatutarios de $100 a $750 por consumidor por incidente. Ninguna otra ley estatal integral de privacidad incluye actualmente un derecho de acción privado.
El máximo de $50,000 por infracción de Florida es el más alto entre las leyes estatales de privacidad, aunque la aplicabilidad restringida de la ley (limitada a empresas con más de $1,000 millones en ingresos) significa que afecta a relativamente pocas empresas.
La tendencia hacia la eliminación o el vencimiento de los períodos de subsanación refleja una maduración del panorama de aplicación. Las leyes tempranas como las de Virginia y Utah tienen períodos de subsanación permanentes, mientras que las leyes más recientes como las de Colorado, Connecticut, Oregón y Delaware incluyeron períodos de subsanación que vencen, pasando de un modelo de aplicación colaborativo a uno punitivo con el tiempo.
Cronología de Fechas de Vigencia
| Año | Leyes Estatales que Entran en Vigor |
|---|---|
| 2020 | CCPA de California |
| 2023 | Enmiendas de la CPRA de California, VCDPA de Virginia, CPA de Colorado, CTDPA de Connecticut, UCPA de Utah |
| 2024 | MCDPA de Montana, OCPA de Oregón, TDPSA de Texas, FDBR de Florida |
| 2025 | ICDPA de Iowa, DPDPA de Delaware, Nuevo Hampshire, NJDPA de Nueva Jersey, NDPA de Nebraska, TIPA de Tennessee, MCDPA de Minnesota, MODPA de Maryland |
| 2026 | ICDPA de Indiana, KCDPA de Kentucky, RIDTPPA de Rhode Island |
Distinciones Clave por Estado
Varios estados tienen disposiciones que los distinguen del modelo mayoritario:
California (CCPA/CPRA): Único estado con una agencia de aplicación de privacidad dedicada (la CPPA). Único estado con un derecho de acción privado. El umbral de ingresos más bajo ($25M). La definición más amplia de "venta" (cualquier intercambio por una contraprestación de valor). Derecho a limitar el uso de la información personal sensible en lugar de un modelo de consentimiento de inclusión.
Oregón (OCPA): Único estado que se aplica a las organizaciones sin fines de lucro. Incluye el estatus transgénero/no binario como dato sensible. Otorga a los consumidores el derecho de obtener una lista de los terceros específicos que reciben sus datos.
Texas (TDPSA): Sin umbral de volumen de procesamiento de datos, aplicándose a todas las empresas que procesan datos personales (excluyendo a las pequeñas empresas definidas por la SBA). Combinado con la ausencia de un umbral de ingresos, esto le da a Texas uno de los alcances de aplicabilidad más amplios.
Maryland (MODPA): Prohíbe por completo la venta de datos personales sensibles. Impone un estándar de minimización de datos que exige que la recopilación sea "razonablemente necesaria" para el propósito divulgado. Entre las leyes estatales de privacidad promulgadas más protectoras.
Minnesota (MCDPA): Otorga derechos relacionados con el perfilamiento, incluyendo el derecho de cuestionar los resultados del perfilamiento. Exige evaluaciones de impacto en la privacidad. Incluye un requisito de minimización de datos.
Florida (FDBR): La aplicabilidad más restringida (umbral de ingresos de $1,000 millones). Se dirige a grandes empresas tecnológicas y plataformas digitales. Incluye disposiciones específicas para las protecciones en línea de los niños.
Montana (MCDPA): El umbral de consumidores más bajo (50,000) entre los estados que usan el modelo basado en volumen, reflejando la población más pequeña de Montana.
Cómo Interactúan Estas Leyes con la Ley Federal
No existe una ley federal integral de privacidad a partir de marzo de 2026, aunque la Ley Estadounidense de Privacidad y Protección de Datos (ADPPA) se ha presentado en múltiples sesiones del Congreso. La relación entre la ley de privacidad estatal y federal involucra varias capas:
- HIPAA prevalece sobre las leyes estatales para los datos de salud cubiertos, pero solo se aplica a los proveedores de atención médica, las aseguradoras y sus asociados comerciales. Las leyes estatales de privacidad cubren los datos de salud que mantienen otras empresas (aplicaciones de salud, rastreadores de actividad física, etc.).
- GLBA prevalece sobre las leyes estatales para las instituciones financieras en relación con la información financiera de los clientes, aunque las leyes estatales pueden imponer requisitos adicionales.
- COPPA proporciona un piso federal para los datos de niños (menores de 13 años), pero las leyes estatales pueden proporcionar protecciones adicionales.
- FCRA rige a las agencias de reporte de crédito al consumidor y no es reemplazada por las leyes estatales de privacidad.
La mayoría de las leyes estatales de privacidad excluyen explícitamente los datos que ya están regulados por estos marcos federales, evitando un conflicto directo.
Para un análisis detallado de las leyes estatales individuales, consulte nuestras guías estado por estado:
- California (CCPA/CPRA)
- Virginia (VCDPA)
- Colorado (CPA)
- Connecticut (CTDPA)
- Texas (TDPSA)
- Oregón (OCPA)
- Maryland (MODPA)
- Minnesota
Para una comparación de estas leyes frente a los marcos internacionales, consulte nuestro análisis de RGPD frente a CCPA.
Esta información refleja la ley a partir de marzo de 2026. La legislación estatal de privacidad es un área activa, con nuevos proyectos de ley presentados en múltiples estados en cada sesión legislativa. Consulte a un abogado para obtener asesoría específica para su situación.
Preguntas frecuentes
¿Cuántos estados de EE. UU. tienen leyes integrales de privacidad de datos?
A partir de marzo de 2026, 20 estados han promulgado leyes integrales de privacidad de datos del consumidor: California, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Oregón, Texas, Florida, Delaware, Nuevo Hampshire, Nueva Jersey, Kentucky, Nebraska, Minnesota, Maryland y Rhode Island. Estados adicionales tienen legislación activa en curso.
¿Qué estado tiene la ley de privacidad de datos más estricta?
La CCPA/CPRA de California generalmente se considera la más protectora en general, con el umbral de ingresos más bajo ($25 millones), una agencia de aplicación dedicada y el único derecho de acción privado entre las leyes estatales de privacidad. Sin embargo, la MODPA de Maryland es más estricta en ciertos aspectos, al prohibir por completo la venta de datos sensibles e imponer requisitos de minimización de datos que van más allá del enfoque de California.
¿Deben las empresas cumplir con cada ley estatal de privacidad por separado?
Las empresas que procesan datos personales de residentes en múltiples estados deben cumplir con cada ley estatal aplicable. En la práctica, muchas empresas adoptan un programa de privacidad de referencia que cumple con los requisitos de las leyes aplicables más estrictas (típicamente California) y luego agregan disposiciones específicas por estado donde las leyes difieren, como la cobertura de organizaciones sin fines de lucro de Oregón o el requisito de minimización de datos de Maryland.
¿Pueden los consumidores demandar a las empresas según las leyes estatales de privacidad?
Solo California proporciona un derecho de acción privado, y está limitado a las violaciones de datos que involucren ciertas categorías de información personal sin cifrar. Según todas las demás leyes estatales de privacidad, la aplicación la maneja exclusivamente el Fiscal General estatal (o la agencia designada). Los consumidores en esos estados no pueden presentar demandas individuales por infracciones de privacidad según el estatuto integral de privacidad.
¿Reemplazará una ley federal de privacidad a las leyes estatales de privacidad?
A partir de marzo de 2026, no existe una ley federal integral de privacidad de datos, aunque se han presentado proyectos de ley como la Ley Estadounidense de Privacidad y Protección de Datos. Que una ley federal prevalezca sobre las leyes estatales depende de sus disposiciones específicas de prevalencia. California y otros estados con fuertes protecciones de privacidad históricamente se han opuesto a la prevalencia federal, lo que convierte esto en un obstáculo político significativo para la legislación federal.
Fuentes y referencias
- Ley de Privacidad del Consumidor de California (CCPA)(leginfo.legislature.ca.gov).gov
- Ley de Protección de Datos del Consumidor de Virginia (VCDPA)(law.lis.virginia.gov).gov
- Ley de Privacidad de Colorado (CPA)(leg.colorado.gov).gov
- Ley de Privacidad y Seguridad de Datos de Texas (TDPSA)(capitol.texas.gov).gov
- Ley de Privacidad del Consumidor de Oregón (OCPA)(olis.oregonlegislature.gov).gov
- Ley de Privacidad de Datos en Línea de Maryland (MODPA)(mgaleg.maryland.gov).gov
- Agencia de Protección de la Privacidad de California (CPPA)(cppa.ca.gov).gov
- Ley de Privacidad de Datos de Connecticut (CTDPA)(cga.ct.gov).gov
- Ley de Privacidad de Datos del Consumidor de Minnesota(revisor.mn.gov).gov