Utah
Lista de Verificación de Cumplimiento de la UCPA para Empresas (Utah 2026)

Cumplir con la Ley de Privacidad del Consumidor de Utah (UCPA) comienza con una pregunta: ¿la ley siquiera se aplica a usted? Según la Sección 13-61-102, una empresa está cubierta solo si tiene ingresos anuales de $25,000,000 o más Y cumple un umbral de volumen de datos, lo que hace que el alcance de Utah sea el más limitado de cualquier estado. Las empresas que superan ese umbral deben publicar un aviso de privacidad, ofrecer exclusiones voluntarias para la venta y la publicidad dirigida, proporcionar una exclusión voluntaria para datos sensibles, atender las solicitudes de los consumidores dentro de 45 días, y firmar contratos con encargados del procesamiento.
A partir de 2026, la carga de cumplimiento de Utah es más ligera que la de la mayoría de los estados: no existen evaluaciones de protección de datos ni la obligación de respetar señales universales de exclusión voluntaria. El Fiscal General de Utah hace cumplir la ley según la Sección 13-61-402, con un período de subsanación permanente de 30 días y sanciones de hasta $7,500 por infracción.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad del Consumidor de Utah (Código de Utah, Título 13, Capítulo 61). Es información legal general, no asesoría legal.
Paso 1: Determine si la UCPA se aplica a usted
La primera tarea de cumplimiento es el análisis de umbral, porque la mayoría de las empresas no están cubiertas. La Sección 13-61-102(1) aplica la UCPA a un controlador o encargado del procesamiento que realiza negocios en Utah o se dirige a residentes de Utah, tiene "ingresos anuales de $25,000,000 o más", y cumple uno de dos umbrales de datos: procesar los datos personales de 100,000 o más consumidores en un año calendario, o derivar más del 50% de los ingresos brutos de la venta de datos personales mientras procesa los datos de 25,000 o más consumidores.
El punto estructural crítico es que el requisito de ingresos está unido al resto con "y". Una empresa debe superar el umbral de $25 millones antes de que importe cualquier umbral de datos. Si sus ingresos anuales son inferiores a $25 millones, la UCPA no se aplica a usted, sin importar cuántos registros de residentes de Utah posea. Eso es lo que hace que la cobertura de Utah sea la más limitada del país.
Realice el análisis con precisión. Confirme si hace negocios en Utah o se dirige a residentes de Utah. Confirme su cifra de ingresos anuales. Luego evalúe los dos criterios de datos. Muchas empresas cubiertas por las leyes de California, Colorado o Texas descubrirán que quedan totalmente fuera de la UCPA, lo que puede reducir significativamente el alcance de un programa de privacidad multiestatal.
Paso 2: Confirme que no está categóricamente exento
Incluso por encima del umbral, la Sección 13-61-102(2) elimina categorías enteras de organizaciones y datos. Verifique si encaja en una exención antes de construir algo.
Las entidades exentas incluyen entidades gubernamentales y sus contratistas, tribus, instituciones de educación superior, corporaciones sin fines de lucro, entidades cubiertas por HIPAA, asociados comerciales de HIPAA, y aerolíneas. Los datos exentos incluyen la información de salud protegida bajo HIPAA, la información regulada por la Ley de Informe Justo de Crédito, los datos bajo la Ley federal de Protección de la Privacidad del Conductor, los registros educativos bajo FERPA, los datos financieros y las instituciones reguladas por la Ley Gramm-Leach-Bliley según la Sección 13-61-102(2)(k), y los datos bajo la Ley de Crédito Agrícola.
Los datos de empleo y de contacto de emergencia también están excluidos según la Sección 13-61-102(2)(o). Si está parcialmente exento, por ejemplo, una empresa con una división regulada por HIPAA y una división de consumo, aplique la UCPA únicamente a los datos no exentos. El estatuto no otorga una exención de toda la organización basada en una superposición parcial, así que mapee sus flujos de datos para ver qué conjuntos de datos permanecen dentro del alcance.
Paso 3: Publique un aviso de privacidad conforme
Si está cubierto, el aviso de privacidad es la obligación fundamental. La Sección 13-61-302(1)(a) exige que un controlador proporcione a los consumidores "un aviso de privacidad razonablemente accesible y claro" que incluya cinco elementos: las categorías de datos personales procesados, los propósitos para los cuales se procesan esas categorías, cómo pueden los consumidores ejercer un derecho, las categorías de datos personales compartidos con terceros, y las categorías de terceros con quienes se comparten datos.
Redacte el aviso en lenguaje claro y colóquelo donde los consumidores puedan encontrarlo, típicamente enlazado desde cada página de un sitio web. Manténgalo actualizado a medida que cambien sus prácticas de datos. Dado que Utah no exige un aviso separado de venta de datos sensibles con redacción estatutaria obligatoria como lo hace Texas, el aviso de privacidad y las divulgaciones de exclusión voluntaria hacen la mayor parte del trabajo de transparencia bajo la UCPA.
Asegúrese de que el aviso explique, en términos concretos, el método que un consumidor debe usar para presentar una solicitud de derechos. La Sección 13-61-202 permite que el controlador prescriba ese método, pero el aviso de privacidad es donde los consumidores se enteran de cuál es.

Paso 4: Construya mecanismos de exclusión voluntaria para la venta y la publicidad dirigida
Si vende datos personales o realiza publicidad dirigida, le debe a los consumidores una manera clara de excluirse. La Sección 13-61-302(1)(b) exige que un controlador "divulgue de forma clara y visible al consumidor la manera en que el consumidor puede ejercer el derecho a excluirse" de la venta de datos personales o del procesamiento para publicidad dirigida.
En la práctica, esto significa un enlace o control visible de exclusión voluntaria, más un proceso interno para realmente dejar de vender los datos de ese consumidor o dejar de dirigirle anuncios una vez que se excluya. El derecho de exclusión voluntaria proviene de la Sección 13-61-201(4).
Una cosa que no tiene que construir: un mecanismo de señal universal de exclusión voluntaria. Texas, Colorado, Montana, Oregón y California exigen que los controladores detecten y respeten señales a nivel de navegador o dispositivo, como Global Privacy Control. La UCPA no contiene tal requisito. Un consumidor debe usar el método de exclusión voluntaria que usted prescriba; no está obligado a reconocer una señal global. Este es uno de los lugares donde el cumplimiento en Utah es genuinamente más ligero.
Paso 5: Configure la exclusión voluntaria de datos sensibles
La regla de datos sensibles de Utah es la parte de la lista de verificación que más difiere de otros estados, así que manéjela con cuidado. La Sección 13-61-302(3) establece que un controlador "no puede procesar datos sensibles recopilados de un consumidor sin antes presentarle un aviso claro y una oportunidad de excluirse del procesamiento". Para un niño conocido, el controlador debe procesar los datos de conformidad con COPPA.
Este es un mecanismo de exclusión voluntaria, no de consentimiento previo. Puede procesar datos sensibles, pero solo después de haber dado un aviso claro y una oportunidad real de rechazarlo. Construya un flujo de aviso y exclusión voluntaria que se active antes de que se procesen los datos sensibles, y haga que la exclusión voluntaria sea fácil de usar. Los datos sensibles, definidos en la Sección 13-61-101, incluyen datos que revelan origen racial o étnico, creencias religiosas, orientación sexual, ciudadanía o estatus migratorio, y condiciones de salud, además de datos genéticos o biométricos utilizados para identificar a una persona y datos de geolocalización específica con precisión de 1,750 pies.
Si anteriormente construyó flujos de consentimiento previo para Virginia, Colorado, Connecticut o Texas, no necesita replicarlos para Utah. Pero no omita el aviso y la exclusión voluntaria específicos de Utah, porque eso es lo que exige el estatuto.

Paso 6: Configure el manejo de solicitudes de consumidores dentro de 45 días
Necesita un proceso de recepción y respuesta para las solicitudes de derechos de los consumidores. La Sección 13-61-203 exige que un controlador, dentro de 45 días de recibir una solicitud, tome acción e informe al consumidor sobre la acción tomada. Puede extender una vez por 45 días adicionales, hasta 90 días en total, cuando sea razonablemente necesario debido a la complejidad o el volumen, siempre que notifique al consumidor sobre la extensión dentro de los primeros 45 días.
Incorpore la autenticación en el flujo. Antes de atender una solicitud de acceso o eliminación, puede verificar que el solicitante sea el consumidor con derecho a hacerla; si no puede autenticar mediante esfuerzos comercialmente razonables, no está obligado a cumplir. La primera solicitud en cualquier período de 12 meses debe ser gratuita según la Sección 13-61-203(4); puede cobrar por una segunda solicitud o posterior en el mismo período, o rechazar solicitudes que sean excesivas, repetitivas, técnicamente inviables o manifiestamente infundadas.
Planifique ahora para el derecho a corregir. El HB 418 (2025) enmienda la Sección 13-61-201 para agregar un derecho de corrección vigente a partir del 1 de julio de 2026. Aún no está en vigor a partir de 2026, pero las empresas cubiertas deben estar listas para manejar solicitudes de corrección a través del mismo proceso de 45 días cuando llegue esa fecha.
Paso 7: Establezca contratos con encargados del procesamiento
Si utiliza proveedores para procesar datos personales, necesita contratos que cumplan con el estatuto. La Sección 13-61-301(2) exige que, antes de que un encargado del procesamiento realice el procesamiento en nombre de un controlador, ambos celebren un contrato que establezca las instrucciones para el procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos, la duración, y los derechos y obligaciones de las partes.
El contrato también debe exigir que el encargado del procesamiento garantice que cada persona que procese los datos esté sujeta a un deber de confidencialidad, y que contrate a cualquier subcontratista mediante un contrato por escrito que imponga las mismas obligaciones al subcontratista. La Sección 13-61-301(1) exige por separado que el encargado del procesamiento siga las instrucciones del controlador y le asista con las obligaciones de seguridad y notificación de violaciones.
Revise sus acuerdos existentes con proveedores y agregue términos de procesamiento de datos conformes con la UCPA donde falten. El mismo anexo de procesamiento de datos que utiliza para otras leyes estatales generalmente satisfará a Utah, ya que los términos de procesamiento de Utah siguen el patrón multiestatal común.
Paso 8: Comprenda la aplicación, el período de subsanación y las sanciones
Finalmente, sepa cómo se aplica la ley, porque eso cambia su cálculo de riesgo. La División de Protección al Consumidor recibe las quejas de los consumidores y las investiga según la Sección 13-61-401; si el director determina que existe causa razonable para creer que hay evidencia sustancial de una infracción, el director remite el asunto al fiscal general. Según la Sección 13-61-402(1), el Fiscal General de Utah tiene "la autoridad exclusiva para hacer cumplir este capítulo".
Antes de presentar una acción, el fiscal general debe dar al menos 30 días de aviso por escrito identificando cada disposición presuntamente violada. Según la Sección 13-61-402(3)(b), ninguna acción procede si el controlador o encargado del procesamiento subsana la infracción notificada dentro de 30 días y proporciona una declaración por escrito de que la infracción ha sido subsanada y no volverá a ocurrir. Este período de subsanación es permanente. A diferencia de Colorado y Connecticut, cuyas ventanas de subsanación vencieron, Utah no incorporó ningún vencimiento en la Sección 13-61-402, por lo que la oportunidad de subsanación permanece disponible indefinidamente a partir de 2026.
Si una infracción no se subsana, el fiscal general puede recuperar los daños reales al consumidor más hasta $7,500 por cada infracción según la Sección 13-61-402(3)(d). El dinero recuperado se destina a la Cuenta de Privacidad del Consumidor establecida en la Sección 13-61-403. No existe un derecho de acción privado, por lo que el fiscal general es la única parte que puede presentar un reclamo de aplicación.
Más Leyes de Utah
- Utah AI Meeting Recording Laws
- Utah Alimony Laws
- Utah At-Will Employment Laws
- Utah Car Accident Laws
- Utah Car Seat Laws
- Utah Child Custody Laws
- Utah Child Support Laws
- Utah Common Law Marriage Laws
- Utah Deepfake Laws
- Utah Divorce Laws
- Utah Dog Bite Laws
- Utah Emancipation Laws
- Utah Expungement Laws
- Utah Hit and Run Laws
- Utah Landlord-Tenant Laws
- Utah Lemon Laws
Guías relacionadas
- Leyes de Privacidad de Datos de Utah (centro de la UCPA)
- ¿Qué Es la UCPA? Ley de Privacidad del Consumidor de Utah Explicada
- Derechos del Consumidor Bajo la UCPA: Cómo Acceder, Eliminar y Excluirse
- Comparación de Leyes Estatales de Privacidad de Datos de EE. UU.
- ¿Qué Es la CCPA? La Ley de Privacidad de California Explicada
Preguntas frecuentes
¿Cómo sé si mi empresa debe cumplir con la UCPA?
Realice la prueba de la Sección 13-61-102. La UCPA lo cubre solo si hace negocios en Utah o se dirige a residentes de Utah, tiene ingresos anuales de $25,000,000 o más, Y procesa los datos de 100,000 o más consumidores de Utah al año o deriva más del 50% de sus ingresos brutos de la venta de datos mientras procesa los datos de 25,000 o más consumidores. Debido a que el umbral de ingresos está unido con 'y', cualquier empresa con menos de $25 millones queda fuera de la ley sin importar cuántos datos posea.
¿Qué debe incluir un aviso de privacidad conforme con la UCPA?
Según la Sección 13-61-302(1)(a), el aviso debe incluir las categorías de datos personales procesados, los propósitos de su procesamiento, cómo pueden los consumidores ejercer un derecho, las categorías de datos compartidos con terceros, y las categorías de esos terceros. Si vende datos o realiza publicidad dirigida, la Sección 13-61-302(1)(b) también exige una divulgación clara y visible de cómo excluirse.
¿Exige la UCPA consentimiento previo para los datos sensibles?
No. Utah es el caso atípico a nivel nacional en este punto. Según la Sección 13-61-302(3), un controlador puede procesar datos sensibles después de presentar al consumidor un aviso claro y una oportunidad de excluirse. Todas las demás leyes estatales integrales exigen consentimiento previo. Para un niño conocido, debe cumplir con COPPA en su lugar. Construya un flujo de aviso y exclusión voluntaria que se ejecute antes de procesar los datos sensibles.
¿Exige la UCPA evaluaciones de protección de datos?
No. A diferencia de Colorado, Connecticut y Texas, la UCPA no exige que los controladores realicen o documenten evaluaciones de protección de datos para el procesamiento de alto riesgo. Esta es una de las razones por las que la carga de cumplimiento de Utah es más ligera que la de la mayoría de los estados. Aun así, debe mantener prácticas de seguridad razonables según la Sección 13-61-302(2), pero no se exige documentación formal de evaluación.
¿Tengo que respetar Global Privacy Control u otras señales universales de exclusión voluntaria?
No. La UCPA no exige que los controladores detecten o respeten señales universales de exclusión voluntaria como Global Privacy Control. Texas, Colorado, Montana, Oregón y California imponen ese deber, pero Utah no. Un consumidor de Utah debe usar el método de exclusión voluntaria que usted prescriba según la Sección 13-61-202; no está obligado a reconocer una señal a nivel de navegador o dispositivo.
¿Cuánto tiempo tengo para responder a una solicitud de consumidor bajo la UCPA?
La Sección 13-61-203 le da 45 días desde la recepción para actuar sobre una solicitud e informar al consumidor. Puede extender una vez por otros 45 días (90 días en total) cuando sea razonablemente necesario debido a la complejidad o el volumen, si notifica al consumidor sobre la extensión dentro de los primeros 45 días. La primera solicitud en cualquier período de 12 meses debe ser gratuita.
¿Cuál es la sanción por violar la UCPA?
Según la Sección 13-61-402(3)(d), el fiscal general puede recuperar los daños reales al consumidor más hasta $7,500 por cada infracción. Antes de demandar, el fiscal general debe dar al menos 30 días de aviso por escrito, y ninguna acción procede si usted subsana la infracción dentro de 30 días y proporciona confirmación por escrito. Ese período de subsanación es permanente, sin fecha de vencimiento, y no existe un derecho de acción privado.
¿Es permanente el período de subsanación de la UCPA?
Sí. La oportunidad de subsanación de 30 días en la Sección 13-61-402(3) no tiene fecha de vencimiento. Esto difiere de estados como Colorado y Connecticut, cuyos períodos de subsanación vencen. A partir de 2026, una empresa de Utah que corrija una infracción notificada dentro de 30 días y proporcione la declaración por escrito requerida evita la aplicación de la ley para esa infracción de manera indefinida.
Fuentes y referencias
- Código de Utah, Título 13, Capítulo 61: Ley de Privacidad del Consumidor de Utah (Texto Completo)(le.utah.gov).gov
- Código de Utah, Sección 13-61-102: Aplicabilidad y Exenciones(le.utah.gov).gov
- Código de Utah, Sección 13-61-201: Derechos del Consumidor(le.utah.gov).gov
- Código de Utah, Sección 13-61-203: Respuesta del Controlador a las Solicitudes (Plazo de 45 Días)(le.utah.gov).gov
- Código de Utah, Sección 13-61-301: Responsabilidad Según el Rol (Contratos con Encargados del Procesamiento)(le.utah.gov).gov
- Código de Utah, Sección 13-61-302: Responsabilidades de los Controladores (Aviso de Privacidad, Exclusión Voluntaria de Datos Sensibles)(le.utah.gov).gov
- Código de Utah, Sección 13-61-401: Facultades de Investigación de la División de Protección al Consumidor(le.utah.gov).gov
- Código de Utah, Sección 13-61-402: Facultades de Aplicación del Fiscal General (Subsanación de 30 Días, Sanción de $7,500)(le.utah.gov).gov
- Utah HB 418 (2025): Enmiendas de Intercambio de Datos, Proyecto de Ley Registrado(le.utah.gov).gov
- División de Protección al Consumidor de Utah: Ley de Privacidad del Consumidor de Utah (UCPA)(commerce.utah.gov).gov