Virginia
Leyes de Privacidad de Datos de Virginia: Guía de Derechos del Consumidor de la VCDPA (2026)

La Ley de Protección de Datos del Consumidor de Virginia (VCDPA), codificada en las secciones 59.1-575 a 59.1-585 del Código de Virginia, entró en vigor el 1 de enero de 2023, convirtiendo a Virginia en el segundo estado en promulgar una ley integral de privacidad de datos del consumidor. La VCDPA otorga a los residentes derechos de acceso, corrección, eliminación y portabilidad de sus datos personales, así como el derecho a excluirse de la publicidad dirigida, la venta de datos y la elaboración de perfiles. La aplicación recae exclusivamente en el Fiscal General de Virginia, sin derecho de acción privado conforme al estatuto principal.
Desde su aprobación en 2021, la Asamblea General de Virginia ha enmendado la VCDPA para añadir protecciones de datos infantiles, aclarar las exenciones para organizaciones sin fines de lucro y modificar los derechos del consumidor. Una ley de julio de 2025 añadió protecciones de privacidad separadas para la información reproductiva y de salud sexual. Una ley de 2025 sobre límites de tiempo en redes sociales para menores entró en vigor el 1 de enero de 2026, pero fue bloqueada por una medida cautelar preliminar federal el 27 de febrero de 2026. Esta guía cubre el marco completo de privacidad de datos de Virginia tal como se encuentra en 2026.
¿Qué Es la Ley de Protección de Datos del Consumidor de Virginia (VCDPA)?
La VCDPA es la ley integral de privacidad de datos del consumidor de Virginia. El gobernador Ralph Northam la firmó el 2 de marzo de 2021, y entró en vigor el 1 de enero de 2023. La ley está codificada en el Título 59.1, Capítulo 53 del Código de Virginia.
La VCDPA otorga a los consumidores de Virginia derechos específicos sobre sus datos personales e impone obligaciones a las empresas que recopilan y procesan datos de los consumidores. La oficina del Fiscal General de Virginia ha publicado un resumen para consumidores que explica las disposiciones clave de la ley.
A diferencia de la ley de privacidad de California, la VCDPA no crea un derecho de acción privado para las infracciones principales. Solo el Fiscal General de Virginia puede aplicar el estatuto principal. Esta distinción es importante tanto para los consumidores como para las empresas que operan en Virginia.

Definiciones Clave Según la VCDPA
La VCDPA define varios términos importantes que determinan cómo se aplica la ley. Conforme a Va. Code 59.1-575, las definiciones clave incluyen:
Datos personales significa cualquier información que esté vinculada o razonablemente vinculable a una persona física identificada o identificable. Esto no incluye datos anonimizados ni información disponible públicamente.
Datos sensibles reciben protección reforzada bajo la ley. Incluyen datos que revelan origen racial o étnico, creencias religiosas, diagnósticos de salud mental o física, orientación sexual, estatus de ciudadanía o inmigración, datos genéticos o biométricos utilizados con fines de identificación, datos personales de un menor conocido y datos de geolocalización precisa.
Consumidor significa una persona física residente de Virginia que actúa en un contexto individual o doméstico. La definición excluye a las personas que actúan en un contexto comercial o de empleo.
Responsable del tratamiento (controller) significa la persona física o jurídica que determina los propósitos y los medios del procesamiento de datos personales. Un encargado del tratamiento (processor) significa una entidad que procesa datos personales en nombre de un responsable del tratamiento.
Datos biométricos significa datos generados por mediciones automáticas de características biológicas, como huellas dactilares, huellas de voz, retinas oculares, iris u otros patrones biológicos únicos utilizados para identificar a una persona específica. Las fotografías digitales, las grabaciones de video o audio y los datos de atención médica cubiertos por la HIPAA están excluidos de esta definición.
Datos de geolocalización precisa significa información que identifica directamente la ubicación específica de una persona física con precisión y exactitud dentro de un radio de 1,750 pies.
¿Quién Debe Cumplir con la VCDPA?
La VCDPA se aplica a las entidades que hacen negocios en Virginia o producen productos o servicios dirigidos a residentes de Virginia y que cumplen con uno de dos umbrales conforme a Va. Code 59.1-576:
- Controlan o procesan los datos personales de al menos 100,000 consumidores de Virginia durante un año calendario, O
- Controlan o procesan los datos personales de al menos 25,000 consumidores de Virginia Y obtienen más del 50% de sus ingresos brutos de la venta de datos personales.
A diferencia de algunas leyes estatales de privacidad, la VCDPA no tiene un umbral basado únicamente en los ingresos. Un minorista grande con altos ingresos pero pocos consumidores de Virginia puede no estar cubierto. Un corredor de datos con ingresos modestos pero volúmenes de datos significativos probablemente sí lo esté.
¿Quién Está Exento de la VCDPA?
Las siguientes entidades no están sujetas a la VCDPA:
- Las agencias estatales de Virginia y las subdivisiones políticas
- Las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Las entidades cubiertas por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH)
- Las organizaciones sin fines de lucro (incluidas las organizaciones políticas y ciertas entidades 501(c)(4), según las enmiendas de 2022 SB 534 y HB 714)
- Las instituciones de educación superior
Ciertas categorías de datos también están exentas independientemente de quién las posea. Estas incluyen los datos regulados bajo la Ley de Informe Justo de Crédito (FCRA), la Ley de Protección de la Privacidad del Conductor, la Ley de Derechos Educativos y Privacidad Familiar (FERPA), y los datos procesados con fines de empleo.
Derechos del Consumidor Según la VCDPA
La VCDPA otorga a los consumidores de Virginia cinco derechos fundamentales de privacidad conforme a Va. Code 59.1-577. Estos derechos permiten a los consumidores mantener el control sobre cómo se recopilan, usan y comparten sus datos personales.
Derecho de Acceso y Confirmación
Los consumidores tienen derecho a confirmar si un responsable del tratamiento está procesando sus datos personales. Si el responsable del tratamiento está procesando tales datos, el consumidor tiene derecho a acceder a ellos.
Derecho de Corrección
Los consumidores pueden solicitar que un responsable del tratamiento corrija las inexactitudes en sus datos personales. El responsable del tratamiento debe considerar la naturaleza de los datos personales y los propósitos del procesamiento al responder a las solicitudes de corrección.
Derecho de Eliminación
Los consumidores pueden solicitar la eliminación de los datos personales que el responsable del tratamiento posea sobre ellos. Este derecho se aplica tanto a los datos que el consumidor proporcionó directamente como a los datos que el responsable del tratamiento obtuvo de otras fuentes.
Conforme a una enmienda de 2022 (HB 381), los responsables del tratamiento que obtuvieron datos personales de fuentes distintas al consumidor pueden satisfacer una solicitud de eliminación manteniendo un registro mínimo de la solicitud mientras mantienen los datos eliminados, o excluyendo al consumidor de todo el procesamiento para fines no exentos.
Derecho a la Portabilidad de Datos
Los consumidores pueden obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable que les permita transmitir los datos a otro responsable del tratamiento sin obstáculos, cuando el procesamiento se lleve a cabo por medios automatizados.
Derecho de Exclusión
Los consumidores tienen derecho a excluirse del procesamiento de sus datos personales para tres propósitos específicos:
- Publicidad dirigida basada en datos personales obtenidos de actividades a través de diferentes empresas, sitios web o aplicaciones
- Venta de datos personales a terceros
- Elaboración de perfiles en apoyo de decisiones que produzcan efectos legales o de importancia similar para el consumidor
Nota sobre el Mecanismo Universal de Exclusión: Virginia actualmente no exige que los responsables del tratamiento respeten las señales universales de exclusión basadas en navegador, como el Control de Privacidad Global (GPC). Esto distingue a la VCDPA de Colorado y Connecticut, que sí exigen el reconocimiento del GPC. Los consumidores de Virginia deben presentar las solicitudes de exclusión directamente a cada responsable del tratamiento.
Cómo Ejercer Sus Derechos
Para ejercer cualquiera de estos derechos, los consumidores deben presentar una solicitud al responsable del tratamiento. Los responsables del tratamiento deben responder dentro de 45 días. Pueden extender este período por 45 días adicionales cuando sea razonablemente necesario, considerando la complejidad y el número de solicitudes.
Los responsables del tratamiento deben proporcionar este servicio de forma gratuita hasta dos veces al año por consumidor. Si una solicitud es manifiestamente infundada, excesiva o repetitiva, el responsable del tratamiento puede cobrar una tarifa razonable o negarse a actuar sobre la solicitud.
Si un responsable del tratamiento rechaza una solicitud, el consumidor puede apelar. Si la apelación también es denegada, el consumidor puede presentar una queja ante el Fiscal General de Virginia.

Obligaciones Empresariales Según la VCDPA
Los responsables del tratamiento que caen bajo la VCDPA deben cumplir con varios requisitos descritos en Va. Code 59.1-578. Estas obligaciones están diseñadas para garantizar la transparencia y la minimización de datos.
Limitaciones en la Recopilación de Datos
Los responsables del tratamiento deben limitar la recopilación de datos personales a lo que sea adecuado, relevante y razonablemente necesario para los fines divulgados. No pueden recopilar datos excesivos ni usar datos de formas que no sean razonablemente necesarias para el fin declarado.
Requisitos de Seguridad
Los responsables del tratamiento deben establecer, implementar y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas apropiadas al volumen y la naturaleza de los datos personales. Estas prácticas deben proteger la confidencialidad, integridad y accesibilidad de los datos personales.
Requisitos del Aviso de Privacidad
Los responsables del tratamiento deben proporcionar a los consumidores un aviso de privacidad razonablemente accesible y claro que incluya:
- Las categorías de datos personales procesados por el responsable del tratamiento
- El propósito del procesamiento de datos personales
- Cómo los consumidores pueden ejercer sus derechos, incluido el derecho a apelar la decisión de un responsable del tratamiento
- Las categorías de datos personales compartidos con terceros
- Las categorías de terceros con quienes se comparten los datos personales
Consentimiento para Datos Sensibles
Los responsables del tratamiento no deben procesar datos sensibles sin obtener primero el consentimiento del consumidor. Las categorías de datos sensibles que requieren consentimiento explícito incluyen:
- Datos que revelan origen racial o étnico
- Creencias religiosas
- Diagnósticos de salud mental o física
- Orientación sexual o estatus de ciudadanía
- Datos genéticos o biométricos con fines de identificación
- Datos de geolocalización precisa
Para los datos de un menor conocido de menos de 13 años, los responsables del tratamiento deben procesar dichos datos de conformidad con la Ley federal de Protección de la Privacidad Infantil en Línea (COPPA).
Evaluaciones de Protección de Datos
Conforme a Va. Code 59.1-580, los responsables del tratamiento deben realizar y documentar evaluaciones de protección de datos para ciertas actividades de procesamiento. Estas evaluaciones se requieren para:
- El procesamiento de datos personales con fines de publicidad dirigida
- La venta de datos personales
- El procesamiento de datos personales para elaboración de perfiles cuando esta presente un riesgo previsible de daño
- El procesamiento de datos sensibles
- Cualquier actividad de procesamiento que presente un riesgo elevado de daño para los consumidores
Cada evaluación debe sopesar los beneficios del procesamiento frente a los riesgos potenciales para los derechos del consumidor e identificar salvaguardas para reducir los riesgos. El Fiscal General puede solicitar estas evaluaciones durante una investigación. Son confidenciales y están exentas de la Ley de Libertad de Información de Virginia.
Obligaciones del Encargado del Tratamiento
Los encargados del tratamiento de datos tienen deberes específicos conforme a Va. Code 59.1-579. Un encargado del tratamiento debe:
- Seguir las instrucciones del responsable del tratamiento
- Ayudar al responsable del tratamiento a cumplir con sus obligaciones, incluida la respuesta a las solicitudes de derechos del consumidor
- Mantener la confidencialidad con respecto a los datos personales
- Eliminar o devolver todos los datos personales al responsable del tratamiento al final de la relación de servicio
- Poner a disposición toda la información necesaria para demostrar el cumplimiento
Los responsables y encargados del tratamiento deben celebrar un contrato por escrito que rija las actividades de procesamiento de datos del encargado. Este contrato debe incluir instrucciones para el procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos procesados y la duración del procesamiento.
Protecciones de Datos Infantiles
Virginia ha promulgado protecciones progresivamente más sólidas para los datos infantiles mediante enmiendas a la VCDPA.
Menores de 13 Años: Protecciones para "Menor Conocido" (Vigentes desde el 1 de Enero de 2025)
Conforme a las enmiendas promulgadas por el gobernador Youngkin el 17 de mayo de 2024 (SB 361/HB 707), los responsables del tratamiento enfrentan restricciones adicionales al procesar datos personales de un menor conocido de menos de 13 años. A menos que el responsable del tratamiento obtenga primero el consentimiento parental de conformidad con la COPPA, se les prohíbe:
- Procesar los datos personales de un menor conocido con fines de publicidad dirigida
- Vender los datos personales de un menor conocido
- Elaborar perfiles de un menor conocido de formas que produzcan efectos legales o de importancia similar
Los responsables del tratamiento tampoco pueden recopilar datos de geolocalización precisa de un menor conocido a menos que sea razonablemente necesario para proporcionar el servicio y el responsable del tratamiento proporcione una señal activa que indique que la recopilación está ocurriendo durante toda la duración de la recopilación.
Restricciones de Redes Sociales para Menores de 16 Años (SB 854): Estado a Partir de Mayo de 2026
Virginia promulgó el SB 854, que añadió el Va. Code 59.1-577.1, imponiendo requisitos a las plataformas de redes sociales con respecto a los usuarios menores de 16 años. La ley entró en vigor el 1 de enero de 2026 y habría exigido que las plataformas:
- Determinaran si los usuarios son menores utilizando métodos comercialmente razonables
- Limitaran a los usuarios menores a una hora por día por servicio o aplicación
- Permitieran a los padres ajustar este límite de tiempo mediante consentimiento parental verificable
El 17 de noviembre de 2025, NetChoice presentó una demanda ante el Tribunal de Distrito de los Estados Unidos para el Distrito Este de Virginia, impugnando la ley por motivos de la Primera Enmienda y de la cláusula de comercio inactiva. El 27 de febrero de 2026, la jueza federal de distrito Patricia Tolliver Giles otorgó una medida cautelar preliminar que bloqueó la aplicación de la ley. El tribunal determinó que era probable que NetChoice tuviera éxito en el fondo del asunto, particularmente porque las exenciones basadas en el contenido del estatuto (para plataformas de noticias, deportes, juegos y entretenimiento) convertían a la ley en una restricción de expresión basada en el contenido. El Fiscal General de Virginia, Jason Miyares, ha apelado la medida cautelar ante el Cuarto Circuito.
Las disposiciones de límite de tiempo en redes sociales del SB 854 actualmente no se están aplicando mientras el litigio continúa.

Protecciones de Datos Reproductivos y de Salud Sexual (Vigentes desde el 1 de Julio de 2025)
El gobernador Youngkin firmó el SB 754 el 24 de marzo de 2025. La ley enmienda la Ley de Protección al Consumidor de Virginia para prohibir que ciertas entidades obtengan, divulguen, vendan o difundan cualquier información reproductiva o de salud sexual de identificación personal sin el consentimiento del consumidor, vigente desde el 1 de julio de 2025.
Varias características distinguen al SB 754 de la VCDPA:
- Aplicabilidad más amplia: La ley se aplica a cualquier "proveedor" involucrado en transacciones de consumo, no solo a las entidades que cumplen con los umbrales de volumen de datos de la VCDPA.
- Alcance de datos más amplio: La información protegida incluye no solo los datos de salud recopilados directamente, sino también los datos derivados, extrapolados o inferidos de información no relacionada con la salud, como datos proxy, derivados, algorítmicos o emergentes.
- Estándar de consentimiento: El consentimiento debe ser un acto afirmativo claro que sea otorgado libremente, específico, informado e inequívoco.
- Derecho de acción privado: A diferencia de las infracciones principales de la VCDPA, las infracciones del SB 754 permiten que los consumidores demanden directamente. Los daños reales están disponibles; las infracciones deliberadas permiten daños triples más honorarios de abogados razonables y costos judiciales. El Fiscal General también puede buscar medidas cautelares y sanciones civiles por infracciones deliberadas.
Aplicación y Sanciones de la VCDPA
Aplicación por el Fiscal General
Conforme a Va. Code 59.1-584, el Fiscal General de Virginia tiene autoridad exclusiva para aplicar la VCDPA. No existe un derecho de acción privado por infracciones del estatuto principal.
Antes de tomar medidas de aplicación, el Fiscal General debe proporcionar al responsable o encargado del tratamiento un aviso por escrito que identifique las disposiciones específicas que se cree han sido infringidas. La empresa entonces tiene un período de subsanación de 30 días para corregir la infracción y proporcionar al Fiscal General una declaración por escrito confirmando que la infracción ha sido subsanada y que no ocurrirán más infracciones.
El período de subsanación de Virginia es permanente, sin disposición de caducidad. Esto distingue a Virginia de Colorado, donde el período de subsanación expiró el 1 de enero de 2025, y de Connecticut, que eliminó su período de subsanación. Las empresas que operan en múltiples estados no deben asumir que Virginia ha seguido el endurecimiento de la aplicación de esos estados.
Si la empresa no logra subsanar dentro de 30 días, el Fiscal General puede buscar:
- Una medida cautelar para restringir las infracciones
- Sanciones civiles de hasta $7,500 por infracción
- Gastos razonables, incluidos honorarios de abogados y costos de investigación
Actividad de Aplicación a Partir de 2026
El Fiscal General de Virginia, Jason Miyares, no ha anunciado públicamente ningún acuerdo de aplicación o acción de sanción civil de la VCDPA a partir de mayo de 2026. Sin embargo, la Unidad de Privacidad del Consumidor del Fiscal General está recibiendo activamente quejas e investigando posibles infracciones. El 28 de enero de 2025, el Fiscal General Miyares emitió una declaración pública en el Día de la Privacidad de Datos destacando los derechos de datos del consumidor de los virginianos e instando a los consumidores a presentar quejas ante la Unidad de Privacidad del Consumidor.
La defensa del Fiscal General de las disposiciones de redes sociales del SB 854 contra la medida cautelar de NetChoice refleja una atención continua a los asuntos de privacidad digital, aunque el historial principal de aplicación de la VCDPA sigue siendo escaso en comparación con el de la CPPA de California.
Tabla Resumen de Sanciones
| Tipo de Infracción | Sanción Máxima | Autoridad de Aplicación | Derecho de Acción Privado |
|---|---|---|---|
| Infracción de la VCDPA (por infracción) | $7,500 | Fiscal General de VA | No |
| Falta de notificación de violación de datos | $150,000 por violación | Fiscal General de VA | Limitado (daños económicos) |
| Infracción de datos de salud reproductiva (SB 754) | Variable; daños triples por infracciones deliberadas | Fiscal General de VA + demanda privada | Sí |
Ley de Notificación de Violación de Datos de Virginia
Aparte de la VCDPA, la ley de notificación de violación de datos de Virginia en Va. Code 18.2-186.6 exige la notificación cuando se compromete información personal.
Qué Activa una Notificación
Una entidad debe notificar a las personas afectadas cuando información personal sin cifrar o sin redactar fue, o razonablemente se cree que fue, accedida y adquirida por una persona no autorizada, y la violación causa o razonablemente se cree que causará robo de identidad u otro fraude.
La información personal que activa la notificación incluye el primer nombre o inicial y el apellido de un consumidor combinados con cualquiera de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o de tarjeta de identificación estatal
- Número de cuenta financiera, tarjeta de crédito o débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida
- Número de pasaporte
- Número de identificación militar

Quién Debe Ser Notificado
Las entidades deben notificar a cada residente de Virginia afectado sin demora injustificada y también deben notificar a la oficina del Fiscal General de Virginia. La notificación debe describir el incidente, los tipos de información personal comprometida, las medidas de protección tomadas, un número de teléfono de contacto y consejos para que los consumidores monitoreen sus cuentas y revisen sus informes crediticios.
Momento de la Notificación
El aviso debe proporcionarse sin demora injustificada. Puede retrasarse para determinar el alcance de la violación y restaurar la integridad del sistema. Las fuerzas del orden también pueden solicitar retrasos si la notificación impidiera una investigación criminal o civil.
Sanciones por Notificación de Violación de Datos
El Fiscal General puede imponer sanciones civiles de hasta $150,000 por violación o serie de violaciones de naturaleza similar descubiertas en una sola investigación. Las personas también pueden recuperar daños económicos directos resultantes de una falta de notificación.
Novedades Recientes: Qué Cambió Entre 2024 y 2026
Varios acontecimientos han cambiado materialmente el panorama de privacidad de Virginia desde la entrada en vigor de la VCDPA en enero de 2023.
Enmiendas de Datos Infantiles (SB 361/HB 707, vigentes desde el 1 de enero de 2025): Virginia añadió restricciones específicas sobre el procesamiento de datos de menores conocidos de menos de 13 años, exigiendo el consentimiento parental antes de usar dichos datos para publicidad, ventas o elaboración de perfiles.
Ley de Datos de Salud Reproductiva (SB 754, vigente desde el 1 de julio de 2025): Una enmienda independiente de protección al consumidor creó las protecciones de privacidad de datos reproductivos y de salud sexual más amplias en la historia de Virginia, con un derecho de acción privado, daños triples y aplicabilidad más allá de los umbrales de la VCDPA.
Límites de Tiempo en Redes Sociales para Menores (SB 854, vigente desde el 1 de enero de 2026, aplicación bloqueada): Virginia promulgó límites diarios de una hora para los usuarios menores de plataformas de redes sociales, pero un tribunal federal otorgó una medida cautelar preliminar el 27 de febrero de 2026, bloqueando la aplicación en espera de apelación.
Ley de IA de Virginia Vetada (24 de marzo de 2025): El gobernador Youngkin vetó el HB 2094, la Ley de Desarrolladores e Implementadores de Inteligencia Artificial de Alto Riesgo, que habría creado obligaciones para los desarrolladores e implementadores de sistemas de IA de alto riesgo, incluidas evaluaciones antidiscriminación. Virginia no tiene regulación integral de IA a partir de mayo de 2026.
El Fiscal General Miyares en el Día de la Privacidad (28 de enero de 2025): El Fiscal General Miyares destacó públicamente los derechos de datos del consumidor e instó a los virginianos a presentar quejas ante la Unidad de Privacidad del Consumidor, señalando una atención continua a la ley incluso sin acciones públicas de aplicación.
Marco Federal Superpuesto: Leyes que Se Aplican en Virginia
Los consumidores y las empresas de Virginia deben tener en cuenta varias leyes federales de privacidad que operan junto con la VCDPA.
Ley TAKE IT DOWN (Pub. L. 119-12, firmada el 19 de mayo de 2025): Esta ley federal penaliza la publicación no consentida de imágenes íntimas y deepfakes sexuales generados por IA. Las obligaciones de eliminación de contenido para plataformas, que exigen la eliminación del contenido señalado dentro de las 48 horas, entraron en vigor el 19 de mayo de 2026. La Comisión Federal de Comercio aplica el cumplimiento con sanciones civiles de hasta $53,088 por infracción. Las plataformas cubiertas que recibieron cartas de advertencia formales del presidente de la FTC, Andrew Ferguson, incluyen a Meta, Apple, Microsoft, TikTok, Reddit, Snapchat y X.
HIPAA: Las entidades cubiertas y sus asociados comerciales en Virginia están sujetos a la Regla de Privacidad (45 C.F.R. Parte 164) y la Regla de Seguridad de la HIPAA. Las entidades cubiertas por la HIPAA están exentas de la VCDPA para los datos procesados en su capacidad regulada por la HIPAA, pero la ley de salud reproductiva SB 754 de Virginia puede imponer requisitos de consentimiento independientes a algunos servicios relacionados con la salud que no son entidades cubiertas por la HIPAA.
GLBA: Las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley están exentas de la VCDPA. La Regla de Salvaguardas de la FTC (16 C.F.R. Parte 314, actualizada en 2023) sigue aplicándose.
FCRA y FACTA: Las agencias de informes crediticios y los proveedores de información en Virginia operan bajo la Ley de Informe Justo de Crédito y la Ley de Transacciones de Crédito Justas y Precisas. Los datos regulados por la FCRA están exentos de la cobertura de la VCDPA.
COPPA: Los operadores de sitios web o servicios en línea dirigidos a niños menores de 13 años deben cumplir con la Ley de Protección de la Privacidad Infantil en Línea (15 U.S.C. 6501 y siguientes), aplicada por la FTC. Las disposiciones de "menor conocido" de la VCDPA operan en coordinación con la COPPA, no como un reemplazo de esta.
Sección 5 de la Ley de la FTC: La Comisión Federal de Comercio puede iniciar acciones por engaño e injusticia contra entidades que infrinjan las promesas de privacidad o no mantengan una seguridad de datos razonable, independientemente de la aplicabilidad de la VCDPA. Esto proporciona una base federal que se aplica a las empresas de Virginia por debajo de los umbrales de la VCDPA.
Estado de la APRA: La Ley Federal de Derechos de Privacidad Estadounidense, un proyecto de ley bipartidista federal integral de privacidad presentado en 2024, expiró al final del 118.º Congreso en enero de 2025 sin ser promulgada. A partir de mayo de 2026, no se ha vuelto a presentar ninguna legislación federal integral de privacidad. Por lo tanto, la VCDPA permanece vigente sin preferencia federal.

Pasos Prácticos de Cumplimiento para las Empresas
Las empresas que cumplen con los umbrales de la VCDPA o anticipan alcanzarlos deben tomar los siguientes pasos.
Determinar la aplicabilidad: Confirme si procesa datos personales de 100,000 o más consumidores de Virginia, o de 25,000 o más mientras obtiene más del 50% de los ingresos de la venta de datos. Revise las exenciones, particularmente la GLBA, la HIPAA, el estatus de organización sin fines de lucro y la FERPA.
Actualizar su aviso de privacidad: La VCDPA exige un aviso de privacidad claro y accesible que divulgue las categorías de datos personales, los propósitos, el intercambio con terceros y cómo presentar solicitudes de derechos del consumidor. El aviso debe explicar cómo los consumidores pueden apelar una solicitud denegada.
Crear un flujo de trabajo de derechos del consumidor: Necesita un proceso documentado para recibir, verificar y responder a las solicitudes de acceso, corrección, eliminación, portabilidad y exclusión dentro de 45 días (extensible a 90 días con aviso).
Auditar los flujos de datos sensibles: Identifique todo el procesamiento de categorías de datos sensibles, particularmente geolocalización precisa, datos biométricos, genéticos, de salud y de menores conocidos. Confirme que cuenta con mecanismos de consentimiento explícito antes de cualquier procesamiento.
Realizar evaluaciones de protección de datos: Documente las evaluaciones para publicidad dirigida, venta de datos, elaboración de perfiles, datos sensibles y cualquier procesamiento de alto riesgo. Manténgalas confidenciales y disponibles para la revisión del Fiscal General.
Ejecutar contratos con encargados del tratamiento: Revise todos los acuerdos con proveedores. Los contratos con encargados del tratamiento de datos deben cumplir con Va. Code 59.1-579, incluidas las instrucciones, las limitaciones de propósito y la devolución o eliminación de datos después de la terminación.
Revisar las prácticas de datos infantiles: Si opera servicios que probablemente lleguen a menores conocidos de menos de 13 años, implemente el consentimiento parental conforme a la COPPA antes de procesar sus datos para publicidad, ventas o elaboración de perfiles.
Monitorear el litigio del SB 854: Si opera una plataforma de redes sociales que estaría cubierta por la ley de límite de una hora diaria, esté atento a la apelación ante el Cuarto Circuito en NetChoice v. Miyares. La aplicación permanece bloqueada, pero el resultado de la apelación determinará si se requiere el cumplimiento.
Establecer un proceso conforme a la Ley TAKE IT DOWN: Las plataformas cubiertas deben contar con un proceso de aviso y eliminación de 48 horas para imágenes íntimas no consentidas a partir del 19 de mayo de 2026. La aplicación de la FTC está activa.
Cómo Se Compara la VCDPA con Otras Leyes Estatales de Privacidad
La VCDPA de Virginia comparte muchas características con las leyes de privacidad de otros estados, pero tiene varias distinciones notables:
- Sin derecho de acción privado para las infracciones principales: A diferencia de la CCPA de California, la VCDPA no permite que los consumidores demanden directamente a las empresas (excepto por datos de salud reproductiva bajo el SB 754)
- Sin opt-in para la venta de datos: Virginia utiliza un modelo de exclusión en lugar de exigir consentimiento explícito para la venta de datos
- Período de subsanación permanente: El período de subsanación de 30 días de Virginia no tiene caducidad; el de Colorado expiró el 1 de enero de 2025 y el de Connecticut ha sido eliminado
- Sin obligación de UOOM/GPC: Virginia no exige que los responsables del tratamiento respeten las señales universales de exclusión basadas en navegador
- Sin agencia de privacidad dedicada: El Fiscal General de Virginia, no una agencia dedicada como la CPPA de California, maneja toda la aplicación
- Umbrales de aplicabilidad más estrechos: La prueba de 100,000 consumidores o de 25,000 más 50% de ingresos es relativamente alta; los procesadores de datos más pequeños pueden no estar cubiertos
Otras Leyes de Virginia y Guías Relacionadas
Explore recursos legales adicionales de Virginia y privacidad de datos en Recording Law:
- Leyes de Grabación de Virginia
- Leyes de Privacidad de Datos de Alabama
- Leyes de Privacidad de Datos de California
- Leyes de Privacidad de Datos de Colorado
- Leyes de Privacidad de Datos de Connecticut
- Leyes de Privacidad de Datos de Texas
- Ver Todas las Leyes Estatales de Privacidad de Datos
Más leyes de Virginia
- Leyes de Grabación de Reuniones con IA de Virginia
- Leyes de Pensión Alimenticia de Virginia
- Leyes de Empleo a Voluntad de Virginia
- Leyes de Accidentes de Auto de Virginia
- Leyes de Asientos de Seguridad para Niños de Virginia
- Leyes de Custodia de los Hijos de Virginia
- Leyes de Manutención de los Hijos de Virginia
- Leyes de Matrimonio de Hecho de Virginia
- Leyes de Deepfake de Virginia
- Leyes de Divorcio de Virginia
- Leyes de Mordedura de Perro de Virginia
- Leyes de Emancipación de Virginia
- Leyes de Eliminación de Antecedentes de Virginia
- Leyes de Atropello y Fuga de Virginia
- Leyes de Propietarios e Inquilinos de Virginia
- Leyes Limón de Virginia
La información en esta página es solo para fines informativos generales y no constituye asesoría legal. Las leyes de privacidad de datos cambian con frecuencia. Para obtener asesoría sobre su situación específica, consulte a un abogado con licencia en Virginia.
Guías detalladas
Preguntas frecuentes
¿Tiene Virginia una ley integral de privacidad de datos?
Sí. Virginia promulgó la Ley de Protección de Datos del Consumidor (VCDPA), codificada en Va. Code 59.1-575 a 59.1-585, vigente desde el 1 de enero de 2023. Virginia fue el segundo estado de EE. UU. en aprobar una ley integral de privacidad de datos del consumidor. La VCDPA otorga a los residentes derechos de acceso, corrección, eliminación y portabilidad de sus datos, así como el derecho a excluirse de la publicidad dirigida, la venta de datos y la elaboración de perfiles.
¿Puedo demandar a una empresa por infringir la VCDPA?
No, no por infracciones principales de la VCDPA. La VCDPA no incluye ningún derecho de acción privado. Solo el Fiscal General de Virginia puede aplicar la ley. Los consumidores que crean que sus derechos han sido violados deben presentar una queja ante la Unidad de Privacidad del Consumidor del Fiscal General. Sin embargo, la ley separada de protección de datos reproductivos y de salud sexual de Virginia (SB 754, vigente desde el 1 de julio de 2025) sí permite demandas privadas, incluidos daños triples por infracciones deliberadas.
¿Cuáles son las sanciones por infringir las leyes de privacidad de datos de Virginia?
El Fiscal General de Virginia puede buscar sanciones civiles de hasta $7,500 por infracción de la VCDPA, además de medidas cautelares y honorarios de abogados. Para las fallas de notificación de violación de datos conforme a Va. Code 18.2-186.6, el Fiscal General puede imponer sanciones de hasta $150,000 por violación. Antes de cualquier aplicación de la VCDPA, el Fiscal General debe dar a la empresa un aviso por escrito de 30 días y la oportunidad de subsanar la infracción.
¿Ha expirado el período de subsanación de 30 días de Virginia?
No. El período de subsanación de la VCDPA de Virginia es permanente y no tiene disposición de caducidad. Esto distingue a Virginia de Colorado, donde el período de subsanación expiró el 1 de enero de 2025, y de Connecticut, que eliminó su período de subsanación. Las empresas de Virginia continúan recibiendo una ventana de 30 días para abordar las infracciones notificadas antes de que el Fiscal General pueda iniciar procedimientos de sanción civil.
¿La VCDPA protege los datos de los menores?
Sí. La VCDPA incluye múltiples capas de protección infantil. Para los menores conocidos de menos de 13 años, una enmienda de 2024 (SB 361/HB 707, vigente desde el 1 de enero de 2025) prohíbe a los responsables del tratamiento procesar sus datos con fines de publicidad dirigida, ventas o elaboración de perfiles sin el consentimiento parental. Una ley separada de 2024 (SB 854) habría impuesto límites diarios de una hora al uso de plataformas de redes sociales por parte de menores, pero esa ley está actualmente bloqueada por una medida cautelar preliminar de un tribunal federal a partir del 27 de febrero de 2026.
¿Qué empresas están exentas de la VCDPA?
La VCDPA exime a las agencias estatales de Virginia, las organizaciones sin fines de lucro, las instituciones de educación superior, las organizaciones políticas, las entidades sujetas a la Ley Gramm-Leach-Bliley y las entidades cubiertas por la HIPAA y la HITECH. Ciertos tipos de datos también están exentos, incluidos los datos regulados por la FCRA, los datos protegidos por la FERPA y los datos procesados únicamente con fines de empleo.
¿Exige Virginia que las empresas respeten el Control de Privacidad Global?
No. La VCDPA no exige que los responsables del tratamiento reconozcan las señales universales de exclusión basadas en navegador, como el Control de Privacidad Global. Los consumidores de Virginia deben presentar las solicitudes de exclusión directamente a cada responsable del tratamiento. Esto contrasta con Colorado y Connecticut, que exigen el reconocimiento del GPC.
¿Aprobó Virginia una ley de IA?
No. La legislatura de Virginia aprobó el HB 2094, la Ley de Desarrolladores e Implementadores de Inteligencia Artificial de Alto Riesgo, en la sesión de 2025, pero el gobernador Youngkin lo vetó el 24 de marzo de 2025. Su mensaje de veto citó preocupaciones sobre el crecimiento económico y la carga para las pequeñas empresas. Virginia no tiene regulación integral de IA a partir de mayo de 2026.
¿Qué es la Ley TAKE IT DOWN y cómo afecta a los virginianos?
La Ley TAKE IT DOWN (Pub. L. 119-12) es una ley federal firmada el 19 de mayo de 2025 que penaliza la publicación no consentida de imágenes íntimas y deepfakes sexuales generados por IA. Las obligaciones de eliminación de contenido para plataformas, que exigen la eliminación del contenido señalado dentro de las 48 horas, entraron en vigor el 19 de mayo de 2026 y son aplicadas por la FTC. La ley opera junto con el marco de privacidad estatal de Virginia y se aplica a las plataformas cubiertas independientemente de si están sujetas o no a la VCDPA.
Fuentes y referencias
- Ley de Protección de Datos del Consumidor de Virginia (VCDPA) - Texto Completo(law.lis.virginia.gov).gov
- Definiciones de la VCDPA - Va. Code 59.1-575(law.lis.virginia.gov).gov
- Derechos del Consumidor de la VCDPA - Va. Code 59.1-577(law.lis.virginia.gov).gov
- Responsabilidades del Responsable del Tratamiento de la VCDPA - Va. Code 59.1-578(law.lis.virginia.gov).gov
- Evaluaciones de Protección de Datos de la VCDPA - Va. Code 59.1-580(law.lis.virginia.gov).gov
- Ley de Notificación de Violación de Datos de Virginia - Va. Code 18.2-186.6(law.lis.virginia.gov).gov
- Fiscal General de Virginia - Resumen de la Ley de Protección de Datos del Consumidor(oag.state.va.us).gov
- Fiscal General de Virginia - Anuncio sobre Derechos de Privacidad de Datos(oag.state.va.us).gov
- Fiscal General de Virginia - Requisitos de Notificación de Violación de Base de Datos(oag.state.va.us).gov
- El Fiscal General Miyares Destaca los Derechos de Datos del Consumidor de los Virginianos en el Día de la Privacidad de Datos (28 de enero de 2025)(oag.state.va.us).gov
- SB 754 de Virginia - Privacidad de Datos Reproductivos y de Salud Sexual (vigente desde el 1 de julio de 2025)(orrick.com)
- El Gobernador de Virginia Veta la Ley de IA (HB 2094), 24 de marzo de 2025 - Davis Polk(davispolk.com)
- Restricciones de Redes Sociales para Menores de Virginia Bloqueadas - DLA Piper (febrero de 2026)(privacymatters.dlapiper.com)
- Demanda NetChoice v. Miyares (E.D. Va., presentada el 17 de noviembre de 2025)(netchoice.org)
- El Fiscal General de Virginia Aplicará las Disposiciones de la VCDPA sobre Redes Sociales - Hunton Andrews Kurth (febrero de 2026)(hunton.com)
- Ley TAKE IT DOWN - Guía de Cumplimiento de la FTC (vigente desde el 19 de mayo de 2026)(ftc.gov).gov
- Enmiendas de Privacidad Infantil de Virginia (SB 361/HB 707) - Davis Wright Tremaine(dwt.com)