Utah
¿Qué Es la UCPA? Ley de Privacidad del Consumidor de Utah Explicada

La Ley de Privacidad del Consumidor de Utah (UCPA) es la ley integral de privacidad de datos del consumidor de Utah, codificada en el Código de Utah, Título 13, Capítulo 61 (Secciones 13-61-101 a 13-61-404). Promulgada como el SB 227 y firmada por el gobernador Spencer Cox el 24 de marzo de 2022, entró en vigor el 31 de diciembre de 2023, y otorga a los residentes de Utah derechos sobre sus datos personales, mientras impone el umbral de cobertura más limitado de cualquier ley estatal de privacidad del país.
A partir de 2026, el Fiscal General de Utah tiene autoridad exclusiva para hacer cumplir la UCPA según la Sección 13-61-402, con sanciones civiles de hasta $7,500 por infracción. Se aplica un período de subsanación de 30 días antes de cualquier acción, y a diferencia de varios otros estados que permitieron que sus ventanas de subsanación vencieran, el período de subsanación de Utah no tiene fecha de vencimiento.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad del Consumidor de Utah (Código de Utah, Título 13, Capítulo 61). Es información legal general, no asesoría legal.
Qué es la UCPA: estatuto, promulgación y fechas de vigencia
La Ley de Privacidad del Consumidor de Utah es la primera ley integral de privacidad de datos del consumidor de Utah. Está codificada en el Código de Utah, Título 13, Capítulo 61, que abarca desde la Sección 13-61-101 (definiciones) hasta la Sección 13-61-404 (el informe del fiscal general). La legislatura la aprobó como el Proyecto de Ley del Senado 227 durante la Sesión General de 2022, y el gobernador Spencer Cox la firmó el 24 de marzo de 2022.
El estatuto entró en vigor el 31 de diciembre de 2023, dando a las empresas cubiertas aproximadamente veinte meses para prepararse. Eso convirtió a Utah en el cuarto estado, después de California, Virginia y Colorado, en promulgar una amplia ley de privacidad del consumidor. El capítulo fue promulgado por el "Capítulo 462, Sesión General de 2022", la cita que aparece al final de cada sección original.
La ley de Utah se ubica en el linaje de Virginia y Colorado, más que en el de California. Utiliza el vocabulario de controlador y encargado del procesamiento de esos estatutos, y otorga un conjunto familiar de derechos del consumidor. Lo que distingue a la UCPA no es su estructura, sino cuánto retrocede la palanca en la cobertura y en las obligaciones que impone. En casi cada decisión de diseño en disputa, Utah eligió el camino más favorable disponible para las empresas.
A quién cubre la UCPA: el umbral de $25M unido con "Y"
La prueba de aplicabilidad en la Sección 13-61-102(1) es la característica más importante de la UCPA, porque es la más limitada de Estados Unidos. La ley se aplica a un controlador o encargado del procesamiento que cumple todas estas condiciones a la vez.
Primero, la entidad debe realizar negocios en Utah o producir un producto o servicio dirigido a residentes de Utah. Segundo, según la Sección 13-61-102(1)(a)(ii), debe tener "ingresos anuales de $25,000,000 o más". Tercero, según la Sección 13-61-102(1)(a)(iii), debe cumplir uno de dos umbrales de datos: durante un año calendario "controla o procesa los datos personales de 100,000 o más consumidores", o "deriva más del 50% de los ingresos brutos de la entidad de la venta de datos personales y controla o procesa los datos personales de 25,000 o más consumidores".
Lo que importa es la estructura. El requisito de ingresos de $25 millones está unido al resto con la palabra "y", no "o". Una empresa debe superar el umbral de ingresos y además alcanzar un umbral de volumen de datos. Esto es fundamentalmente distinto de California, donde los umbrales son alternativas.
Bajo la CCPA de California, una empresa con fines de lucro está cubierta si cumple cualquiera de tres pruebas: más de $25 millones en ingresos brutos anuales, los datos de 100,000 o más consumidores u hogares de California, o el 50% o más de los ingresos provenientes de la venta o compartición de información personal. Un pequeño corredor de datos con $5 millones en ingresos que maneja los datos de 200,000 californianos está cubierto por la CCPA. Ese mismo corredor no está cubierto por la UCPA, porque nunca supera el umbral de $25 millones de Utah. Al unir el requisito de ingresos a los umbrales de datos con un "y", Utah excluye a toda empresa con menos de $25 millones en ingresos, sin importar cuántos datos procese.
La consecuencia práctica: una gran parte de las empresas medianas que quedan dentro del alcance de California, Colorado o Texas descubrirán que no tienen ninguna obligación bajo la UCPA. La cobertura de Utah es deliberadamente la más limitada de cualquier ley estatal de privacidad a partir de 2026.

Exenciones categóricas según la Sección 13-61-102(2)
Incluso entre las empresas que superan el umbral, la Sección 13-61-102(2) elimina categorías completas de organizaciones y datos del alcance de la ley. Estas exenciones están basadas en entidades y en datos, y siguen el patrón establecido por otras leyes estatales.
En cuanto a las entidades, la UCPA no se aplica a una entidad gubernamental o un tercero que actúe en su representación, una tribu, una institución de educación superior, una corporación sin fines de lucro, una entidad cubierta por HIPAA, un asociado comercial de HIPAA, o una aerolínea. Las exenciones de organizaciones sin fines de lucro y de educación superior son notables porque algunas leyes estatales más nuevas las han reducido o eliminado; Utah mantiene ambas como exenciones completas.
En cuanto a los datos, la Sección 13-61-102(2) excluye la información de salud protegida bajo HIPAA, la información de identificación del paciente bajo 42 C.F.R. Parte 2, los datos de investigación con sujetos humanos, la información regulada por la Ley de Informe Justo de Crédito, los datos financieros y las instituciones reguladas por la Ley Gramm-Leach-Bliley según la Sección 13-61-102(2)(k), los datos bajo la Ley federal de Protección de la Privacidad del Conductor, los registros educativos bajo FERPA, y los datos bajo la Ley de Crédito Agrícola. Los datos de empleo y de contacto de emergencia también están excluidos según la Sección 13-61-102(2)(o), y los datos personales procesados con fines puramente personales o domésticos están excluidos según la Sección 13-61-102(2)(p).
Estas exenciones significan que hospitales, bancos, cooperativas de crédito, universidades, organizaciones benéficas y agencias estatales generalmente operan fuera de la UCPA, incluso cuando poseen grandes volúmenes de datos de residentes de Utah. Una entidad cubierta que procesa la información de salud protegida de un paciente de conformidad con HIPAA está exenta en cuanto a esos datos, aunque sigue sujeta a HIPAA misma.
El modelo de exclusión voluntaria de datos sensibles: la diferencia distintiva de Utah
La forma más clara en que Utah se aparta de todos los demás estados es cómo trata los datos sensibles. Según la Sección 13-61-302(3), un controlador "no puede procesar datos sensibles recopilados de un consumidor sin antes presentarle un aviso claro y una oportunidad de excluirse del procesamiento". Para un niño conocido, el controlador debe procesar los datos de conformidad con COPPA.
Eso es un modelo de exclusión voluntaria. Todas las demás leyes estatales integrales de privacidad, incluyendo Virginia, Colorado, Connecticut y Texas, exigen consentimiento previo antes de que un controlador pueda procesar datos sensibles. Bajo esas leyes, los datos sensibles no pueden procesarse a menos que el consumidor esté de acuerdo primero de manera afirmativa. Utah invierte el punto de partida: un controlador puede procesar datos sensibles y simplemente dar al consumidor un aviso y una oportunidad de decir que no.
Los datos sensibles se definen en la Sección 13-61-101 e incluyen datos personales que revelan origen racial o étnico, creencias religiosas, orientación sexual, ciudadanía o estatus migratorio, o historial médico y condiciones de salud, junto con datos genéticos o biométricos procesados para identificar a una persona específica y datos de geolocalización específica con precisión de 1,750 pies. Debido a que Utah utiliza una puerta de exclusión voluntaria para todas estas categorías, las empresas enfrentan una carga de consentimiento más ligera en Utah que en cualquier otro lugar.
Esta única decisión de diseño, más que cualquier otra, es la razón por la que la UCPA se describe ampliamente como la ley integral de privacidad más favorable para las empresas del país.
La carga de cumplimiento más ligera: sin evaluaciones, sin exclusión voluntaria universal
Dos obligaciones que se han vuelto estándar en otros lugares simplemente están ausentes de la UCPA. Primero, la ley no contiene ningún requisito de evaluación de protección de datos. Colorado, Connecticut, Texas y otros exigen que los controladores documenten evaluaciones de riesgo para el procesamiento de alto riesgo, como la publicidad dirigida, la venta de datos y cierta elaboración de perfiles. Utah no impone tal obligación, por lo que un controlador cubierto en Utah no tiene que preparar ni conservar estas evaluaciones.
Segundo, la UCPA no exige que los controladores respeten un mecanismo universal de exclusión voluntaria. Texas, Colorado, Montana, Oregón y California exigen que las empresas cubiertas reconozcan señales de exclusión voluntaria a nivel de navegador o dispositivo, como Global Privacy Control. Los derechos de exclusión voluntaria de la UCPA en la Sección 13-61-201 deben ejercerse por el consumidor a través de cualquier método que el controlador prescriba según la Sección 13-61-202; no hay un mandato estatutario para detectar o respetar una señal global.
El conjunto de derechos del consumidor también es más reducido que la norma nacional. Tal como fue promulgada, la Sección 13-61-201 otorga el derecho a confirmar y acceder, a eliminar los datos que el consumidor proporcionó, a obtener una copia portable, y a excluirse de la publicidad dirigida y la venta de datos personales. No existe un derecho a excluirse de la elaboración de perfiles, y no había un derecho a corregir datos inexactos, una brecha que convirtió a Utah en la única de las primeras leyes estatales integrales sin un derecho de corrección.

Próximamente: el derecho a corregir según el HB 418
Esa brecha de corrección se está cerrando, pero todavía no. El HB 418, promulgado en la Sesión General de 2025, enmienda la Sección 13-61-201 para agregar un derecho a corregir. El estatuto revisado, que lleva la cita "Enmendado por el Capítulo 468, Sesión General de 2025", otorga a un consumidor "el derecho a solicitar que un controlador corrija inexactitudes en los datos personales del consumidor, teniendo en cuenta la naturaleza de los datos personales y los propósitos del procesamiento".
El momento de entrada en vigor importa. La versión actual de la Sección 13-61-201 está marcada como "Reemplazada el 1/7/2026", y la versión enmendada está marcada como "Vigente el 1/7/2026". En otras palabras, el derecho a corregir no está en vigor a partir de 2026. Entra en vigor el 1 de julio de 2026. Hasta esa fecha, los consumidores de Utah todavía no pueden exigir la corrección de datos inexactos bajo la UCPA, y las empresas aún no están obligadas a construir un flujo de trabajo de corrección, aunque el plazo da una razón clara para prepararse.
Cuando entre en vigor, el derecho de corrección se sumará a los derechos existentes y estará sujeto a la misma ventana de respuesta de 45 días en la Sección 13-61-203. No agrega una exclusión voluntaria de elaboración de perfiles ni un deber de exclusión voluntaria universal; el resto del marco limitado de Utah permanece intacto.
UCPA vs. CCPA: las diferencias clave
La ley de Utah y la CCPA de California suelen compararse por empresas que operan a nivel nacional. Nuestra página de comparación de leyes estatales de privacidad de datos cubre el panorama multiestatal completo, pero tres distinciones entre la UCPA y la CCPA de California son las más importantes.
Umbral de cobertura. La CCPA utiliza tres pruebas alternativas unidas por "o", por lo que una empresa está cubierta si cumple cualquiera de ellas. La UCPA une su umbral de ingresos de $25 millones a sus umbrales de datos con "y", por lo que una empresa debe superar ambos. Esa sola conjunción hace que la red de Utah sea mucho más pequeña. Muchas empresas cubiertas por la CCPA no deben nada bajo la UCPA.
Datos sensibles. California exige que las empresas permitan a los consumidores limitar el uso de información personal sensible, y otros estados exigen consentimiento previo. Utah es el único que usa una puerta de exclusión voluntaria según la Sección 13-61-302(3): aviso más una oportunidad de rechazar. Este es el estándar de datos sensibles más ligero entre las leyes estatales integrales.
Aplicación y recursos. California conserva un derecho de acción privado limitado para ciertas violaciones de datos, permitiendo daños estatutarios entre $100 y $750 por consumidor por incidente. La UCPA no tiene ningún derecho de acción privado. Según la Sección 13-61-402(1), el Fiscal General de Utah tiene "la autoridad exclusiva para hacer cumplir este capítulo", y los consumidores no pueden demandar directamente a las empresas cubiertas.
Más Leyes de Utah
- Utah AI Meeting Recording Laws
- Utah Alimony Laws
- Utah At-Will Employment Laws
- Utah Car Accident Laws
- Utah Car Seat Laws
- Utah Child Custody Laws
- Utah Child Support Laws
- Utah Common Law Marriage Laws
- Utah Deepfake Laws
- Utah Divorce Laws
- Utah Dog Bite Laws
- Utah Emancipation Laws
- Utah Expungement Laws
- Utah Hit and Run Laws
- Utah Landlord-Tenant Laws
- Utah Lemon Laws
Guías relacionadas
- Leyes de Privacidad de Datos de Utah (centro de la UCPA)
- Derechos del Consumidor Bajo la UCPA: Cómo Acceder, Eliminar y Excluirse
- Lista de Verificación de Cumplimiento de la UCPA para Empresas
- Comparación de Leyes Estatales de Privacidad de Datos de EE. UU.
- ¿Qué Es la CCPA? La Ley de Privacidad de California Explicada
Preguntas frecuentes
¿Qué es la UCPA?
La UCPA, o Ley de Privacidad del Consumidor de Utah, es la ley integral de privacidad de datos del consumidor de Utah, codificada en el Código de Utah, Título 13, Capítulo 61 (Secciones 13-61-101 a 13-61-404). Fue promulgada como el SB 227, firmada por el gobernador Spencer Cox el 24 de marzo de 2022, y entró en vigor el 31 de diciembre de 2023. Otorga a los residentes de Utah derechos sobre sus datos personales y se considera ampliamente la ley estatal integral de privacidad más favorable para las empresas en Estados Unidos.
¿Cuándo entró en vigor la UCPA?
La UCPA entró en vigor el 31 de diciembre de 2023, después de haber sido firmada como ley el 24 de marzo de 2022. Una enmienda posterior, el HB 418 de la Sesión General de 2025, agrega un derecho a corregir datos inexactos vigente a partir del 1 de julio de 2026. A partir de 2026, ese derecho de corrección aún no está en vigor.
¿A quién se aplica la UCPA?
Según la Sección 13-61-102, la UCPA se aplica a un controlador o encargado del procesamiento que hace negocios en Utah o se dirige a residentes de Utah, tiene ingresos anuales de $25,000,000 o más, y procesa los datos de 100,000 o más consumidores de Utah al año o deriva más del 50% de los ingresos brutos de la venta de datos personales mientras procesa los datos de 25,000 o más consumidores. El requisito de ingresos de $25 millones está unido con 'y', lo que hace que la cobertura de Utah sea la más limitada de cualquier ley estatal de privacidad.
¿Por qué se llama a la ley de privacidad de Utah la más limitada del país?
Porque la Sección 13-61-102 une el umbral de ingresos de $25 millones a los umbrales de volumen de datos con la palabra 'y' en lugar de 'o'. Una empresa debe superar ambos. En California y en la mayoría de los demás estados, los umbrales son alternativas, por lo que una empresa de datos de alto volumen con menos de $25 millones en ingresos sigue estando cubierta. En Utah no lo está, por lo que muchas menos empresas caen dentro del alcance de la UCPA.
¿Qué entidades están exentas de la UCPA?
La Sección 13-61-102(2) exime a entidades gubernamentales, tribus, instituciones de educación superior, corporaciones sin fines de lucro, entidades y asociados comerciales cubiertos por HIPAA, instituciones financieras reguladas por GLBA, y aerolíneas. También excluye los datos regulados por HIPAA, la Ley de Informe Justo de Crédito, FERPA, y la Ley de Protección de la Privacidad del Conductor, junto con la mayoría de los datos de empleo y el procesamiento puramente personal o doméstico.
¿Cómo trata la UCPA los datos sensibles de manera diferente a otros estados?
La UCPA utiliza un modelo de exclusión voluntaria. Según la Sección 13-61-302(3), un controlador puede procesar datos sensibles después de presentar al consumidor un aviso claro y una oportunidad de excluirse. Todas las demás leyes estatales integrales exigen consentimiento previo antes de procesar datos sensibles. Para un niño conocido, el controlador debe cumplir con COPPA. Este estándar de exclusión voluntaria es la diferencia distintiva de Utah y la razón principal por la que la ley se considera la más favorable para las empresas.
¿Exige la UCPA evaluaciones de protección de datos o señales universales de exclusión voluntaria?
No a ninguna de las dos. A diferencia de Colorado, Connecticut y Texas, la UCPA no exige que los controladores realicen o documenten evaluaciones de protección de datos. Y a diferencia de Texas, Colorado, Montana, Oregón y California, no exige que los controladores respeten señales universales de exclusión voluntaria como Global Privacy Control. Estas omisiones hacen que la carga de cumplimiento de Utah sea más ligera que la de casi todos los demás estados.
¿En qué se diferencia la UCPA de la CCPA?
Tres diferencias principales. Cobertura: los tres umbrales de la CCPA son alternativas ('o'), mientras que la UCPA une su umbral de ingresos de $25 millones a sus umbrales de datos con 'y', cubriendo a muchas menos empresas. Datos sensibles: California y otros estados exigen consentimiento previo o limitación de uso, mientras que Utah usa una puerta de exclusión voluntaria según la Sección 13-61-302(3). Recursos: la CCPA tiene un derecho de acción privado limitado para violaciones de datos, mientras que la UCPA no tiene ninguno y es aplicada exclusivamente por el Fiscal General de Utah según la Sección 13-61-402.
Fuentes y referencias
- Código de Utah, Título 13, Capítulo 61: Ley de Privacidad del Consumidor de Utah (Texto Completo)(le.utah.gov).gov
- Código de Utah, Sección 13-61-101: Definiciones(le.utah.gov).gov
- Código de Utah, Sección 13-61-102: Aplicabilidad y Exenciones(le.utah.gov).gov
- Código de Utah, Sección 13-61-302: Responsabilidades de los Controladores (Exclusión Voluntaria de Datos Sensibles)(le.utah.gov).gov
- Código de Utah, Sección 13-61-402: Facultades de Aplicación del Fiscal General(le.utah.gov).gov
- Utah HB 418 (2025): Enmiendas de Intercambio de Datos, Proyecto de Ley Registrado(le.utah.gov).gov
- División de Protección al Consumidor de Utah: Ley de Privacidad del Consumidor de Utah (UCPA)(commerce.utah.gov).gov
- Proyecto de Ley del Senado 227 de Utah (2022): Ley de Privacidad del Consumidor, Proyecto de Ley Registrado(le.utah.gov).gov