Utah
Leyes de Privacidad de Datos de Utah: Guía de Derechos del Consumidor de la UCPA (2026)

La Ley de Privacidad del Consumidor de Utah (UCPA), codificada en el Código de Utah, Título 13, Capítulo 61, entró en vigor el 31 de diciembre de 2023, y otorga a los residentes de Utah derechos para acceder, eliminar y portar sus datos personales, así como para optar por excluirse de la publicidad dirigida y la venta de datos. Se aplica únicamente a las empresas que superan el umbral de ingresos de $25 millones definido en la Sección 13-61-102.
Utah se ha consolidado como un estado que prioriza la protección de datos del consumidor dentro de un marco deliberadamente favorable para las empresas. La Ley de Privacidad del Consumidor de Utah (UCPA) fue promulgada en marzo de 2022 y entró en vigor el 31 de diciembre de 2023. Fue la cuarta ley estatal integral de privacidad de datos del consumidor en el país, después de California, Virginia y Colorado.
Junto con la UCPA, Utah mantiene la Ley de Protección de Información Personal (Código de Utah, Título 13, Capítulo 44), que regula los requisitos de notificación de violaciones de datos. Un creciente conjunto de leyes sectoriales, incluyendo la Ley de Política de Inteligencia Artificial de Utah y la Ley de Protección de Menores en Redes Sociales, ha ampliado significativamente el panorama de privacidad digital del estado desde 2024.
Esta guía cubre todas las disposiciones principales de la ley de privacidad de datos de Utah, incluyendo los derechos del consumidor, las obligaciones empresariales, los mecanismos de aplicación, las sanciones y el proceso de notificación de violaciones de datos, actualizada hasta la Sesión General de 2026.
Descripción General de la Ley de Privacidad del Consumidor de Utah (UCPA)
La UCPA fue promulgada mediante el Proyecto de Ley del Senado 227 durante la Sesión General de 2022 y está codificada en el Código de Utah, Título 13, Capítulo 61. La ley establece derechos para los consumidores de Utah respecto a sus datos personales e impone obligaciones a las empresas que recopilan y procesan esos datos.
La UCPA fue diseñada deliberadamente para ser menos onerosa para las empresas que las leyes comparables de California, Colorado y Connecticut. El informe provisional de 2025 de la Legislatura de Utah que evalúa la UCPA la describió como la ley estatal integral de privacidad más favorable para las empresas promulgada en Estados Unidos. Ese mismo informe señaló que la ley recibió solo 32 quejas de consumidores en sus primeros 18 meses, una cifra baja en comparación con estados similares como Connecticut y Oregón.
La División de Protección al Consumidor de Utah, dentro del Departamento de Comercio, y el Fiscal General de Utah, Derek Brown, comparten la responsabilidad de administrar y hacer cumplir la ley.
A Quién se Aplica la UCPA
La UCPA se aplica a cualquier controlador o encargado del procesamiento que cumpla los tres criterios siguientes según la Sección 13-61-102:
Realiza negocios en Utah o produce un producto o servicio dirigido a los residentes de Utah.
Tiene ingresos anuales de $25,000,000 o más.
Cumple uno de dos umbrales de procesamiento de datos. La empresa debe controlar o procesar los datos personales de 100,000 o más consumidores durante un año calendario, o derivar más del 50% de sus ingresos brutos de la venta de datos personales y controlar o procesar los datos personales de 25,000 o más consumidores.
Se deben cumplir los tres criterios. Una empresa que opera en Utah pero no cumple el umbral de ingresos no está sujeta a la UCPA. De manera similar, una gran empresa que cumple el umbral de ingresos pero no procesa suficientes datos de consumidores queda fuera del alcance de la ley. Esta estructura combinada de umbral de ingresos más volumen es distintiva entre las leyes estatales de privacidad de Estados Unidos.
Entidades Exentas
La UCPA otorga amplias exenciones a nivel de entidad según la Sección 13-61-102. Los siguientes tipos de organizaciones no están sujetos a la ley:
- Entidades gubernamentales y contratistas externos que actúan en su representación
- Tribus reconocidas a nivel federal
- Instituciones de educación superior
- Corporaciones sin fines de lucro
- Entidades cubiertas y asociados comerciales bajo HIPAA
- Instituciones financieras reguladas por la Ley Gramm-Leach-Bliley (GLBA)
- Agencias de informes de crédito al consumidor, proveedores de información y usuarios regulados bajo la Ley de Informe Justo de Crédito (FCRA)
- Entidades sujetas a la Ley de Protección de la Privacidad del Conductor
- Entidades sujetas a la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Aerolíneas
Categorías de Datos Exentas
Más allá de las exenciones a nivel de entidad, ciertas categorías de datos quedan excluidas de la UCPA sin importar quién las posea:
- Información de salud protegida bajo HIPAA
- Información de identificación del paciente regulada por 42 CFR Parte 2
- Datos recopilados para investigación con sujetos humanos que cumplen normas federales
- Información de salud desidentificada según se define en 45 CFR 164
- Información utilizada para actividades de salud pública
- Datos de empleo y nómina procesados en el contexto laboral

Derechos del Consumidor Bajo la UCPA
La Sección 13-61-201 otorga a los consumidores de Utah los siguientes derechos sobre sus datos personales.
Derecho a Confirmar y Acceder
Puede solicitar a una empresa que confirme si está procesando sus datos personales. Si es así, tiene derecho a acceder a esos datos.
Derecho a Eliminar
Puede solicitar que un controlador elimine los datos personales que usted le proporcionó. Este derecho es más limitado que los derechos de eliminación de otros estados, ya que se aplica únicamente a los datos que el consumidor proporcionó, no a todos los datos que la empresa posee sobre el consumidor.
Derecho a la Portabilidad de Datos
Puede obtener una copia de sus datos personales en un formato que, en la medida técnicamente factible, sea portable y fácilmente utilizable. El formato debe permitirle transmitir los datos a otro controlador sin impedimentos, cuando el procesamiento se realice por medios automatizados.
Derecho a Excluirse de la Venta de Datos
Puede indicarle a un controlador que deje de vender sus datos personales a terceros. Según la UCPA, una "venta" significa el intercambio de datos personales a cambio de una contraprestación monetaria. Esta es una definición más limitada que la de leyes como la CCPA, que también incluye intercambios a cambio de "otra contraprestación de valor".
Derecho a Excluirse de la Publicidad Dirigida
Puede optar por excluirse del procesamiento de sus datos personales con fines de publicidad dirigida. Si un controlador realiza publicidad dirigida o vende datos personales, debe divulgar ese hecho de forma clara y visible y proporcionar una manera para que los consumidores se excluyan.
Derecho a Corregir (Vigente a partir del 1 de julio de 2026)
A partir del 1 de julio de 2026, los consumidores de Utah tendrán derecho a solicitar que un controlador corrija inexactitudes en sus datos personales, tomando en cuenta la naturaleza de los datos personales y los propósitos del procesamiento. Este derecho se agregó mediante una enmienda legislativa de 2025 y coloca a Utah en línea con los derechos de corrección que ya ofrecen Virginia, Colorado, Connecticut y Texas. Las empresas deben asegurarse de que sus flujos de trabajo para solicitudes de consumidores estén actualizados para manejar solicitudes de corrección antes de la fecha de vigencia.
Cómo Ejercer Sus Derechos
Los consumidores pueden ejercer sus derechos presentando una solicitud directamente a la empresa. La División de Protección al Consumidor de Utah proporciona modelos de cartas de solicitud y un formulario de queja sobre privacidad de datos.
Los controladores deben responder a las solicitudes de los consumidores dentro de los 45 días posteriores a la recepción de la solicitud. Si un controlador se niega a actuar, debe informar al consumidor sin demora indebida y explicar el fundamento de la negativa.
Disposiciones Sobre Datos Sensibles
La UCPA define los "datos sensibles" como datos personales que revelan cualquiera de los siguientes:
- Origen racial o étnico
- Creencias religiosas
- Orientación sexual
- Ciudadanía o estatus migratorio
- Información médica o de salud mental
- Datos genéticos
- Datos biométricos utilizados para identificar a una persona específica
- Datos de geolocalización específica (dentro de 1,750 pies o menos)
Exclusión Voluntaria en Lugar de Consentimiento Previo
Esta es una de las diferencias más significativas entre la UCPA y otras leyes estatales de privacidad. Según la Sección 13-61-302, un controlador no puede procesar datos sensibles sin proporcionar al consumidor un aviso claro y una oportunidad de excluirse.
En contraste, estados como Virginia, Colorado, Connecticut y Texas exigen consentimiento previo (opt-in) antes de procesar datos sensibles. El enfoque de exclusión voluntaria de la UCPA impone menos carga a las empresas y otorga a los consumidores menos protección sobre su información más sensible.
Para los datos sensibles de niños menores de 13 años, la UCPA exige el cumplimiento de la ley federal de Protección de la Privacidad Infantil en Línea (COPPA), la cual sí exige el consentimiento parental verificable.
Excepciones a la Clasificación de Datos Sensibles
La UCPA establece dos excepciones a la definición de datos sensibles:
- Los datos de origen racial o étnico procesados por servicios de comunicación por video no se consideran datos sensibles
- Los datos médicos procesados por proveedores de atención médica con licencia durante el curso del tratamiento no se consideran datos sensibles bajo la UCPA
Obligaciones del Controlador y del Encargado del Procesamiento
Deberes del Controlador
Según la Sección 13-61-302, los controladores deben cumplir varias obligaciones.
Aviso de privacidad. Los controladores deben proporcionar a los consumidores un aviso de privacidad razonablemente accesible y claro que incluya las categorías de datos personales procesados, los propósitos del procesamiento, cómo pueden los consumidores ejercer sus derechos, las categorías de datos compartidos con terceros y las categorías de esos terceros.
Seguridad de datos. Los controladores deben establecer, implementar y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas diseñadas para proteger la confidencialidad e integridad de los datos personales. Estas prácticas deben reducir los riesgos de daño razonablemente previsibles y ser adecuadas al volumen y naturaleza de los datos en cuestión.
No discriminación. Los controladores no pueden discriminar a los consumidores que ejercen sus derechos. Esto significa que un controlador no puede negar bienes o servicios, cobrar precios diferentes ni ofrecer un nivel de calidad distinto porque el consumidor ejerza un derecho bajo la UCPA. Sin embargo, se permiten los programas de lealtad o recompensas que ofrecen diferencias de precio.
No renuncia. Cualquier disposición contractual que pretenda renunciar o limitar los derechos de un consumidor bajo la UCPA es nula e inaplicable.
Lo que la UCPA NO Exige
Varias obligaciones que aparecen en leyes de estados similares están ausentes de la UCPA. Los controladores no están obligados a realizar evaluaciones de protección de datos para actividades de procesamiento de alto riesgo, a reconocer señales universales de exclusión voluntaria como Global Privacy Control, a designar un oficial de protección de datos, ni a proporcionar un derecho de apelación sobre la respuesta de un controlador a una solicitud del consumidor. Estas omisiones reflejan la intención de diseño favorable a las empresas de la ley.
Deberes del Encargado del Procesamiento
Según la Sección 13-61-301, los encargados del procesamiento deben seguir las instrucciones del controlador e implementar medidas técnicas y organizativas apropiadas para asistir al controlador. Antes de procesar datos personales en representación de un controlador, el encargado del procesamiento y el controlador deben firmar un contrato que especifique:
- Las instrucciones para el procesamiento
- La naturaleza y el propósito del procesamiento
- Los tipos de datos sujetos a procesamiento
- La duración del procesamiento
- Los derechos y obligaciones de ambas partes
El contrato debe exigir que el encargado del procesamiento mantenga la confidencialidad y garantice que cualquier subcontratista cumpla las mismas obligaciones.
Datos Desidentificados y Seudonimizados
La Sección 13-61-303 establece que los controladores no están obligados a reidentificar los datos desidentificados o seudonimizados para responder a las solicitudes de los consumidores. Los datos seudonimizados están exentos de los derechos de acceso, eliminación y portabilidad siempre que la información identificadora se mantenga separada con las salvaguardas técnicas y organizativas apropiadas.

Aplicación y Sanciones de la UCPA
Función de la División de Protección al Consumidor
La División de Protección al Consumidor de Utah sirve como la primera línea de aplicación de la UCPA según la Sección 13-61-401. La División recibe quejas de consumidores, investiga presuntas infracciones y remite al Fiscal General los casos con evidencia sustancial.
Los consumidores que consideren que una empresa ha violado sus derechos de privacidad de datos pueden presentar una queja a través del formulario en línea de quejas de privacidad de datos de la División. La División recibió 32 quejas de consumidores en los primeros 18 meses de la ley, un volumen bajo que llevó al informe provisional de 2025 de la Legislatura de Utah a señalar que la Cuenta Restringida de Privacidad del Consumidor establecida por la Sección 13-61-403 permanecía sin fondos, ya que aún no se habían recaudado ingresos por aplicación de la ley.
Autoridad del Fiscal General
Según la Sección 13-61-402, el Fiscal General de Utah tiene autoridad exclusiva para presentar acciones de aplicación por infracciones a la UCPA. No existe un derecho de acción privado, lo que significa que los consumidores no pueden demandar directamente a las empresas por violar la UCPA.
Período de Subsanación de 30 Días
Antes de que el Fiscal General pueda iniciar una acción de aplicación, debe proporcionar al controlador o encargado del procesamiento un aviso por escrito que identifique las infracciones específicas y explique el fundamento fáctico de las presuntas infracciones.
El controlador o encargado del procesamiento tiene entonces 30 días para subsanar la infracción y proporcionar una declaración expresa por escrito de que la infracción ha sido subsanada y que no ocurrirán más infracciones. Si la empresa subsana la infracción dentro de este plazo, no se puede iniciar ninguna acción de aplicación.
Este período de subsanación obligatorio es permanente bajo la UCPA. Algunos otros estados, como Colorado y Connecticut, incluyeron períodos de subsanación que vencieron o se volvieron discrecionales después de una fecha determinada. El informe legislativo provisional de 2025 señaló que el flujo de trabajo actual de aplicación, en el que el Fiscal General debe remitir el caso a la División y la División debe remitirlo de vuelta antes de que pueda emitirse una carta de subsanación, crea fricción procesal que podría justificar una futura simplificación legislativa.
Sanciones por Infracciones No Subsanadas
Si un controlador o encargado del procesamiento no subsana la infracción dentro de 30 días, el Fiscal General puede solicitar:
- Daños reales a los consumidores afectados
- Sanciones civiles de hasta $7,500 por infracción
Múltiples controladores o encargados del procesamiento involucrados en la misma infracción comparten la responsabilidad según principios de culpa comparativa.
Cuenta de Privacidad del Consumidor
La Sección 13-61-403 estableció una Cuenta Restringida de Privacidad del Consumidor. El dinero recaudado a través de acciones de aplicación se deposita en esta cuenta y se utiliza para los costos de investigación de la División, los gastos de recuperación del Fiscal General y la educación de consumidores y empresas. Los saldos que superen los $4,000,000 se transfieren al Fondo General. Hasta la evaluación provisional de 2025, no se habían depositado fondos en la cuenta.
Tabla Resumen de Sanciones de la UCPA
| Tipo de Infracción | Estatuto | Sanción Máxima | Período de Subsanación | Aplicado Por |
|---|---|---|---|---|
| Infracción de la UCPA (por infracción) | Código de Utah 13-61-402 | $7,500 | 30 días (obligatorio) | Fiscal General |
| Falta de notificación de violación de datos (por consumidor) | Código de Utah 13-44-301 | $2,500 | Ninguno | Fiscal General |
| Falta de notificación de violación de datos (agregado) | Código de Utah 13-44-301 | $100,000 | Ninguno | Fiscal General |
Acciones de Aplicación de la UCPA
Primer Aviso de Aplicación y la Demanda Contra Snap
La oficina del Fiscal General Derek Brown emitió su primer aviso de aplicación bajo la Sección 13-61-402 en mayo de 2025, enviando un Aviso formal de Infracción a Snap, Inc.
Después de que Snap no subsanara las infracciones identificadas dentro del plazo estatutario de 30 días, la División de Protección al Consumidor y el Estado de Utah presentaron una demanda civil de aplicación contra Snap en el Tribunal del Tercer Distrito Judicial el 30 de junio de 2025.
La demanda alega que Snap violó la UCPA al no informar a los consumidores sobre sus prácticas de recopilación y procesamiento de datos, al no proporcionar a los usuarios o a sus padres una oportunidad de excluirse de compartir datos sensibles (incluyendo información biométrica y de geolocalización recopilada por la función My AI), y al cometer infracciones relacionadas de los estatutos de protección al consumidor de Utah. Snap presentó una moción de desestimación; el caso seguía pendiente a partir de mayo de 2026.
La demanda contra Snap fue la cuarta acción importante de aplicación en redes sociales coordinada por la División y el Fiscal General, tras demandas coordinadas anteriores contra Meta y TikTok.
Desafíos de Aplicación
El informe provisional de 2025 reconoció que el bajo volumen de quejas refleja una brecha entre el número probable de infracciones que ocurren y el número de consumidores que utilizan el proceso formal de quejas. La oficina del Fiscal General Brown indicó que estaba evaluando propuestas legislativas para simplificar el proceso de remisión entre la División y la oficina del Fiscal General y así reducir la fricción procesal.

Ley de Notificación de Violaciones de Datos de Utah
Por separado de la UCPA, Utah mantiene la Ley de Protección de Información Personal (Código de Utah, Título 13, Capítulo 44), que regula los requisitos de notificación de violaciones de datos.
Qué Es la Información Personal
Según la Sección 13-44-102, "información personal" significa el nombre de una persona o su inicial y apellido, combinado con uno o más de los siguientes elementos de datos:
- Número de Seguro Social
- Número de licencia de conducir o número de identificación estatal
- Número de cuenta financiera, o número de tarjeta de crédito o débito (con cualquier código de seguridad, código de acceso o contraseña requerida)
Qué Constituye una Violación
Una "violación de la seguridad del sistema" es la adquisición no autorizada de datos computarizados que compromete la seguridad, confidencialidad o integridad de la información personal. La adquisición por parte de un empleado o agente no se considera una violación a menos que la información personal se use para un propósito ilegal o se divulgue de manera no autorizada.
Requisito de Investigación
Según la Sección 13-44-202, cuando una persona que posee o tiene licencia sobre datos computarizados toma conocimiento de una violación, debe realizar una investigación de buena fe, razonable y pronta para determinar la probabilidad de que la información personal haya sido o vaya a ser utilizada indebidamente para robo de identidad o fraude.
Notificación al Consumidor
Si la investigación revela que el uso indebido ha ocurrido o es razonablemente probable que ocurra, la persona debe notificar a cada residente afectado de Utah en el tiempo más expedito posible, sin demora injustificada.
La notificación puede proporcionarse mediante cualquiera de los siguientes métodos:
- En persona
- Por teléfono
- Por correo electrónico
- Por correo postal
- Mediante notificación sustitutiva (publicación en sitio web y aviso en medios de comunicación a nivel estatal) si el costo de la notificación directa supera los $250,000, la clase afectada supera los 500,000 residentes, o la persona no cuenta con información de contacto suficiente
Requisitos de Contenido de la Notificación
La notificación debe incluir:
- La fecha en que ocurrió la violación
- La fecha en que se descubrió la violación
- El número total de personas afectadas, incluyendo el número de residentes de Utah
- El tipo de información personal involucrada
- Una descripción de la violación
Reporte de Violaciones Gubernamentales y a Gran Escala
Si la violación afecta a 500 o más residentes de Utah, la persona también debe notificar al Fiscal General de Utah y al Centro Cibernético de Utah. El reporte se realiza a través de un formulario en línea que notifica automáticamente a ambas agencias.
Las entidades gubernamentales de Utah tienen un plazo más estricto. Según el Código de Utah 63A-19-405, las agencias gubernamentales estatales y locales deben reportar las violaciones dentro de los cinco días posteriores a su descubrimiento.
Sanciones por Notificación de Violaciones
Según la Sección 13-44-301, el Fiscal General hace cumplir la ley de notificación de violaciones de datos. Las sanciones incluyen:
- Hasta $2,500 por infracción o serie de infracciones relacionadas con un consumidor específico
- Hasta $100,000 en conjunto por infracciones relacionadas que afecten a más de un consumidor
El Fiscal General también puede solicitar medidas cautelares y recuperar honorarios y costos legales. No existe un derecho de acción privado bajo este estatuto.
Plazo de prescripción: Las acciones administrativas deben presentarse dentro de los 10 años posteriores a la violación. Las acciones civiles deben presentarse dentro de los cinco años posteriores a la violación.
Ley de Política de Inteligencia Artificial de Utah
Utah promulgó la Ley de Política de Inteligencia Artificial (AIPA) mediante el Proyecto de Ley del Senado 149 durante la Sesión General de 2024. La AIPA entró en vigor el 1 de mayo de 2024, convirtiendo a Utah en el primer estado del país en promulgar una ley que regula específicamente las interacciones de IA generativa en contextos orientados al consumidor.
Requisitos Fundamentales de Divulgación
La AIPA exige que cualquier persona que preste servicios en una ocupación regulada divulgue, cuando un consumidor lo solicite, si el consumidor está interactuando con un sistema de IA generativa en lugar de con un humano. El requisito de divulgación se aplica a comunicaciones de texto, audio y visuales.
Las empresas que implementan IA generativa en interacciones con consumidores deben asegurarse de que la IA no afirme ser humana cuando se le pregunte directamente. Las infracciones al requisito de divulgación se tratan como prácticas comerciales engañosas bajo la Ley de Prácticas de Ventas al Consumidor de Utah.
Enmiendas de 2025 (Vigentes desde el 7 de mayo de 2025)
La Legislatura de Utah enmendó la AIPA en 2025 mediante dos proyectos de ley. El Proyecto de Ley del Senado 226 introdujo requisitos de divulgación más estrictos para las interacciones de IA de "alto riesgo", incluyendo situaciones en las que un consumidor busca asesoría sobre asuntos de salud, financieros o legales, o en las que la interacción con la IA implica la recopilación de datos biométricos o sensibles. Según el SB 226, la divulgación del uso de IA en estos contextos se exige de manera proactiva, no solo cuando el consumidor la solicita.
El Proyecto de Ley del Senado 332 extendió la fecha de vencimiento original de la AIPA. Sin el SB 332, la AIPA habría expirado el 7 de mayo de 2025. El SB 332 extendió la ley hasta el 1 de julio de 2027, dando a la Oficina de Política de Inteligencia Artificial tiempo adicional para estudiar la gobernanza de la IA y desarrollar más orientación regulatoria.
Oficina de Política de Inteligencia Artificial
La AIPA estableció la Oficina de Política de Inteligencia Artificial, ubicada dentro del Departamento de Comercio de Utah. La Oficina administra un programa de sandbox regulatorio que permite a las empresas probar aplicaciones de IA bajo requisitos regulatorios flexibilizados, mientras demuestran el cumplimiento de los principios fundamentales de protección al consumidor.
Leyes de Redes Sociales de Utah para Menores
Ley de Protección de Menores en Redes Sociales
Utah promulgó la Ley de Protección de Menores en Redes Sociales en 2024, derogando y reemplazando la anterior Ley de Regulación de Redes Sociales. La ley exige que las empresas de redes sociales implementen sistemas de verificación de edad, apliquen configuraciones de privacidad predeterminadas para usuarios menores de edad, y prohíban funciones de diseño adictivo como el desplazamiento infinito y la reproducción automática para usuarios menores de 18 años.
Estado Actual de la Medida Cautelar
El 10 de septiembre de 2024, el juez de distrito federal Robert J. Shelby concedió la moción de NetChoice para una medida cautelar preliminar, bloqueando la aplicación de la Ley de Protección de Menores en Redes Sociales mientras dura el litigio. El tribunal determinó que NetChoice tenía una probabilidad sustancial de éxito en su reclamo de que la ley viola la Primera Enmienda.
El Estado de Utah apeló la medida cautelar ante el Tribunal de Apelaciones de Estados Unidos para el Décimo Circuito. Los argumentos orales se escucharon en noviembre de 2025. A partir de mayo de 2026, el Décimo Circuito no ha emitido una decisión. La ley sigue bloqueada y actualmente no está en vigor.
Implicaciones para la Privacidad de Datos
Mientras la aplicación esté bloqueada, las empresas que operan plataformas de redes sociales accesibles para menores en Utah deben monitorear la decisión del Décimo Circuito. Si la medida cautelar se levanta o se modifica parcialmente, los requisitos de minimización de datos de la ley, las obligaciones de consentimiento para el acceso parental a los datos, y las protecciones de datos sensibles para usuarios menores de edad entrarían en vigor con relativamente poco aviso previo.

Ley de Elección Digital de Utah
Utah promulgó la Ley de Elección Digital mediante el Proyecto de Ley de la Cámara 418 durante la Sesión General de 2025. La ley está codificada en el Código de Utah, Título 13, Capítulo 81 y entró en vigor el 1 de julio de 2026. El mismo proyecto de ley enmendó la UCPA para agregar el derecho del consumidor a corregir descrito anteriormente.
La Ley de Elección Digital está dirigida a las grandes empresas de redes sociales en lugar de a la población general de empresas cubiertas por la UCPA. Exige que las plataformas cubiertas otorguen a los usuarios un control significativo sobre sus propios datos y conexiones sociales.
Portabilidad de Datos
Las empresas de redes sociales cubiertas deben permitir que un usuario obtenga y transfiera sus datos personales, incluyendo publicaciones, contactos y su gráfico social, en un formato utilizable. El objetivo es permitir que los usuarios trasladen su información a una plataforma competidora sin quedar atados a una sola plataforma.
Interoperabilidad
La ley también exige que las plataformas cubiertas admitan la interoperabilidad mediante interfaces transparentes y accesibles para terceros, construidas sobre protocolos abiertos. Esto tiene el propósito de permitir que los usuarios sigan interactuando entre distintos servicios en lugar de quedar confinados a una sola red.
Aplicación
La División de Protección al Consumidor de Utah hace cumplir la Ley de Elección Digital. Puede imponer multas administrativas de hasta $2,500 por infracción, que aumentan a $5,000 por infracción para conductas que violen una orden administrativa o judicial previa emitida bajo la ley.
Sesión Legislativa de Utah 2026: Actualizaciones de Privacidad
La Sesión General de 2026 de la Legislatura de Utah produjo tres nuevas leyes relevantes para la privacidad de datos.
HB 182: Enmiendas sobre Información Genética
El Proyecto de Ley de la Cámara 182, promulgado en 2026, restringe el almacenamiento y la transmisión de datos de secuenciación genética por parte de instalaciones de atención médica y organizaciones de investigación genómica en Utah. La ley prohíbe el almacenamiento de datos de secuenciación genética en naciones adversarias extranjeras, prohíbe el acceso remoto a dichos datos por parte de entidades vinculadas a adversarios extranjeros sin autorización por escrito, y exige que las instalaciones implementen controles razonables de cifrado y acceso. Se aplican sanciones civiles de $10,000 por infracción, impuestas por el Fiscal General. La fecha de vigencia principal de la ley es el 1 de enero de 2028, con certificaciones de cumplimiento requeridas para diciembre de 2028.
HB 261: Enmiendas a la Ley de Privacidad de Información Electrónica
El Proyecto de Ley de la Cámara 261, firmado el 24 de marzo de 2026, enmienda la Ley de Privacidad de Información Electrónica de Utah. Las enmiendas exigen que las agencias de las fuerzas del orden obtengan una orden judicial basada en causa probable antes de acceder a información electrónica, incluyendo datos de ubicación, datos almacenados o datos transmitidos a proveedores de servicios. Existen excepciones para el consentimiento informado, emergencias que involucren peligro inminente para la vida o la seguridad física, y el descubrimiento inadvertido de evidencia relacionada con delitos graves. El proyecto de ley también agrega una definición de "registro de suscriptor" que aclara qué tipos de información de clientes en poder de proveedores de telecomunicaciones y de servicios en la nube quedan sujetos al requisito de orden judicial.
HB 357: Privacidad de Datos de Vehículos Motorizados
El Proyecto de Ley de la Cámara 357, promulgado en 2026, enmienda el marco de privacidad de datos del consumidor de Utah para exigir que los fabricantes de vehículos motorizados cumplan con derechos de datos del consumidor al estilo de la UCPA, sin importar si el fabricante cumple los umbrales de ingresos de $25 millones y de volumen de datos de la UCPA. La enmienda cierra una brecha que habría excluido a los fabricantes por debajo del umbral mínimo de aplicabilidad de la UCPA de cualquier obligación de derechos de datos del consumidor respecto a los datos generados por vehículos.
Leyes Federales de Privacidad Aplicables a los Residentes de Utah
Las leyes federales se superponen al marco estatal de Utah y proporcionan protecciones adicionales para muchos residentes y empresas de Utah.
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico se aplica a las entidades cubiertas (planes de salud, proveedores de atención médica y cámaras de compensación de atención médica) y sus asociados comerciales. La Regla de Privacidad y la Regla de Seguridad de HIPAA regulan el uso y la divulgación de información de salud protegida, sin importar en qué estado opere la entidad cubierta. Las entidades reguladas por HIPAA están exentas del alcance de la UCPA, pero HIPAA impone su propio conjunto de derechos del consumidor, obligaciones de notificación de violaciones y requisitos de seguridad.
Ley Gramm-Leach-Bliley (GLBA)
La GLBA se aplica a las instituciones financieras y regula cómo comparten y protegen la información financiera personal no pública de los consumidores. Las instituciones reguladas por la GLBA están exentas de la UCPA, pero siguen sujetas a los avisos de privacidad federales, los derechos de exclusión voluntaria para ciertos intercambios de datos, y los requisitos de seguridad de datos de la Regla de Salvaguardas de la FTC.
Ley de Informe Justo de Crédito (FCRA)
La FCRA regula a las agencias de informes de crédito al consumidor y los usos permitidos de los informes de consumidores. Las agencias de informes de crédito al consumidor están exentas de la UCPA, pero siguen sujetas a los requisitos de precisión, disputa y divulgación de la FCRA.
Ley de Protección de la Privacidad Infantil en Línea (COPPA)
COPPA se aplica a los operadores de sitios web y servicios en línea dirigidos a niños menores de 13 años, o que recopilan a sabiendas información personal de niños menores de 13 años. COPPA exige el consentimiento parental verificable antes de recopilar, usar o divulgar la información personal de un niño. La UCPA se remite a COPPA para los datos de menores, por lo que el cumplimiento de COPPA constituye la obligación básica para los servicios cubiertos dirigidos a menores.
Ley TAKE IT DOWN (Vigente desde el 19 de mayo de 2025)
El Congreso promulgó la Ley TAKE IT DOWN (Pub. L. 119-12) como una ley federal que aborda las representaciones visuales íntimas no consensuadas, incluyendo los deepfakes generados por IA. El presidente Trump firmó la ley el 19 de mayo de 2025. La ley tiene dos partes operativas:
- Prohibición penal: La ley crea un delito penal federal por publicar a sabiendas imágenes íntimas no consensuadas, vigente inmediatamente tras su firma.
- Obligaciones de retiro de contenido para plataformas: Las plataformas en línea cubiertas deben proporcionar un proceso para que las víctimas soliciten la eliminación de dicho contenido. Cuando se recibe una solicitud válida, la plataforma debe eliminar el contenido y cualquier copia idéntica conocida dentro de 48 horas. Estas obligaciones entraron en vigor el 19 de mayo de 2026, un año después de la promulgación. La FTC comenzó a hacer cumplir la Sección 3 de la ley el 19 de mayo de 2026, con posibles sanciones civiles de hasta $53,088 por infracción.
Sección 5 de la Ley de la FTC
La Ley de la Comisión Federal de Comercio prohíbe los actos o prácticas desleales o engañosas en el comercio. La FTC utiliza la Sección 5 para presentar acciones de aplicación contra empresas que no cumplen sus propias políticas de privacidad, mantienen una seguridad de datos inadecuada, o realizan declaraciones falsas materiales sobre sus prácticas de datos. La Sección 5 se aplica a la mayoría de las empresas con fines de lucro, incluyendo aquellas por debajo de los umbrales de aplicabilidad de la UCPA.
Ley de Derechos de Privacidad Americana (APRA): No se Convirtió en Ley
Un proyecto de ley federal integral de privacidad, bipartidista, la Ley de Derechos de Privacidad Americana, se introdujo en 2024 y avanzó en un subcomité de la Cámara. Expiró al final del 118º Congreso en enero de 2025 sin ser promulgado. Ninguna ley federal integral de privacidad sustancialmente equivalente había sido promulgada a partir de mayo de 2026. Las empresas no deben confiar en ninguna anticipada preeminencia federal sobre las leyes estatales de privacidad.

Cómo se Compara la UCPA con Otras Leyes Estatales de Privacidad
La UCPA se considera la más favorable para las empresas entre las primeras leyes estatales integrales de privacidad. Varias diferencias clave la distinguen.
Estándar de datos sensibles. Utah exige únicamente aviso y una oportunidad de exclusión voluntaria para procesar datos sensibles. Virginia, Colorado, Connecticut y Texas exigen consentimiento afirmativo previo (opt-in).
Definición más limitada de venta. La UCPA define "venta" únicamente como el intercambio de datos personales a cambio de una contraprestación monetaria. California, Colorado y otros estados también incluyen los intercambios a cambio de "otra contraprestación de valor", abarcando una gama más amplia de acuerdos de intercambio de datos.
Sin evaluaciones de protección de datos. La UCPA no exige que los controladores realicen evaluaciones de protección de datos para actividades de procesamiento de alto riesgo. Virginia, Colorado, Connecticut y Texas exigen dichas evaluaciones.
Sin requisito de mecanismo universal de exclusión voluntaria. A diferencia de Colorado, Connecticut, Montana y Texas, Utah no exige que las empresas respeten señales universales de exclusión voluntaria como Global Privacy Control.
Período de subsanación permanente. El período de subsanación de 30 días de la UCPA es permanente. El período de subsanación de Colorado venció en enero de 2025, y el de Connecticut se volvió discrecional después de una fecha determinada.
Derecho a corregir agregado en julio de 2026. La UCPA fue la única de las primeras leyes estatales integrales de privacidad que no incluyó un derecho a corregir desde el inicio. La enmienda del 1 de julio de 2026 cierra esta brecha.
Pasos Prácticos de Cumplimiento para las Empresas
Las empresas sujetas a la UCPA deben seguir los siguientes pasos.
Confirme la aplicabilidad. Verifique que su empresa cumpla los tres criterios: nexo con Utah, ingresos anuales de $25 millones, y el umbral de volumen de datos aplicable. Muchas empresas más pequeñas no están cubiertas.
Actualice su aviso de privacidad. La UCPA exige un aviso que describa específicamente las categorías de datos procesados, los propósitos, los derechos del consumidor bajo la ley de Utah, las categorías de datos compartidos con terceros, y las categorías de destinatarios externos. Un aviso genérico que no aborde los derechos del consumidor de Utah puede no satisfacer el requisito.
Construya flujos de trabajo para solicitudes de consumidores. Necesita un mecanismo para recibir y responder a solicitudes de acceso, eliminación y portabilidad dentro de 45 días. A partir del 1 de julio de 2026, las solicitudes de corrección también deben manejarse dentro de 45 días.
Audite el procesamiento de datos sensibles. Si recopila datos biométricos, geolocalización precisa o información de salud, asegúrese de proporcionar un aviso claro y un mecanismo genuino de exclusión voluntaria antes del procesamiento. Documente el fundamento de cualquier procesamiento de datos sensibles.
Establezca contratos con encargados del procesamiento. Revise todos los acuerdos con proveedores que involucren el procesamiento de datos personales para confirmar que los términos requeridos del acuerdo de procesamiento de datos estén vigentes.
Implemente seguridad de datos. La UCPA exige prácticas de seguridad "razonables" proporcionales al volumen y la sensibilidad de los datos. Un programa de seguridad documentado es tanto un requisito legal como la base de cualquier respuesta durante el período de subsanación.
Prepárese para las obligaciones de la Ley TAKE IT DOWN (si opera una plataforma en línea). Si su empresa opera una plataforma donde los usuarios pueden publicar imágenes o videos, debe contar con un proceso conforme de aviso y retiro para las representaciones visuales íntimas no consensuadas a partir del 19 de mayo de 2026.
Cómo los Residentes de Utah Ejercen Sus Derechos de Privacidad
Si considera que una empresa está procesando sus datos personales en violación de la UCPA, puede presentar una queja ante la División de Protección al Consumidor de Utah. La División proporciona un formulario en línea de queja de privacidad de datos y modelos de cartas de solicitud del consumidor.
La División investiga las quejas y puede remitir los casos a la oficina del Fiscal General Derek Brown para su aplicación. Conserve registros de cualquier solicitud que envíe a las empresas y las respuestas que reciba, ya que esta documentación respalda cualquier queja posterior.
Para inquietudes sobre violaciones de datos, el Centro Cibernético de Utah proporciona un formulario de reporte de violaciones y recursos para las personas afectadas.
Más Leyes de Utah
¿Busca información sobre otras leyes de grabación y privacidad de Utah? Visite nuestro centro de Leyes de Privacidad de Datos por Estado para comparar Utah con otros estados. También puede explorar temas relacionados:
- Utah AI Meeting Recording Laws
- Utah Alimony Laws
- Utah At-Will Employment Laws
- Utah Car Accident Laws
- Utah Car Seat Laws
- Utah Child Custody Laws
- Utah Child Support Laws
- Utah Common Law Marriage Laws
- Utah Deepfake Laws
- Utah Divorce Laws
- Utah Dog Bite Laws
- Utah Emancipation Laws
- Utah Expungement Laws
- Utah Hit and Run Laws
- Utah Landlord-Tenant Laws
- Utah Lemon Laws
Guías Detalladas
Fuentes y referencias
- Código de Utah, Título 13, Capítulo 61 - Ley de Privacidad del Consumidor de Utah(le.utah.gov).gov
- Proyecto de Ley del Senado 227 de Utah - Ley de Privacidad del Consumidor (Registrada)(le.utah.gov).gov
- Código de Utah, Sección 13-61-102 - Aplicabilidad(le.utah.gov).gov
- Código de Utah, Sección 13-61-302 - Responsabilidades del Controlador(le.utah.gov).gov
- División de Protección al Consumidor de Utah - UCPA(commerce.utah.gov).gov
- Fiscal General de Utah - Privacidad de Datos(attorneygeneral.utah.gov).gov
- Hoja Informativa de Derechos del Consumidor de la UCPA de Utah(commerce.utah.gov).gov
- Código de Utah, Título 13, Capítulo 44 - Ley de Protección de Información Personal(le.utah.gov).gov
- Código de Utah, Sección 13-44-202 - Requisitos de Notificación(le.utah.gov).gov
- Código de Utah, Sección 13-44-301 - Aplicación(le.utah.gov).gov
- Centro Cibernético de Utah - Reportar una Violación(cybercenter.utah.gov).gov
- Legislatura de Utah - Informe de Evaluación de la UCPA (2025)(le.utah.gov).gov
- División de Protección al Consumidor de Utah - Demanda de Aplicación Contra Snap (Junio 2025)(commerce.utah.gov).gov
- Código de Utah, Sección 13-44-102 - Definiciones(le.utah.gov).gov
- Utah SB 149 - Ley de Política de Inteligencia Artificial(le.utah.gov).gov
- Utah HB 182 - Enmiendas sobre Información Genética (2026)(le.utah.gov).gov
- Utah HB 261 - Enmiendas a la Ley de Privacidad de Información Electrónica (2026)(le.utah.gov).gov
- Utah HB 357 - Enmiendas de Privacidad de Datos de Vehículos Motorizados (2026)(le.utah.gov).gov
- FTC - La Aplicación de la Ley Take It Down Comienza Ahora (Mayo 2026)(ftc.gov).gov
- Ley TAKE IT DOWN - Biblioteca Legal de la FTC(ftc.gov).gov
- Hunton - El Tribunal Concede la Moción de Medida Cautelar Preliminar Sobre la Ley de Protección de Menores en Redes Sociales de Utah(hunton.com)
- FPF - Chatbots Bajo Control: la Legislación de IA Más Reciente de Utah(fpf.org)
- Utah HB 418 - Enmiendas de Intercambio de Datos y Ley de Elección Digital (2025)(le.utah.gov).gov
- Código de Utah, Título 13, Capítulo 81 - Ley de Elección Digital de Utah(le.utah.gov).gov