Virginia
¿Que es la VCDPA? La Ley de Proteccion de Datos de Virginia Explicada

La Ley de Proteccion de Datos del Consumidor de Virginia (VCDPA), codificada en Va. Code Ann. §§ 59.1-575 a 59.1-584, entro en vigor el 1 de enero de 2023, convirtiendo a Virginia en el segundo estado del pais en promulgar una ley integral de privacidad de datos del consumidor. Otorga a los residentes de Virginia derechos especificos sobre sus datos personales e impone obligaciones a las empresas que cumplen con los umbrales de cobertura.
A partir de 2026, el Fiscal General de Virginia aplica activamente la VCDPA y ha advertido a las empresas que esperen escrutinio sobre las practicas de datos que afectan a los consumidores de Virginia.
Que es la VCDPA: estatuto, promulgacion y antecedentes
La VCDPA es la ley integral de privacidad de datos del consumidor de Virginia, codificada en Va. Code Ann. §§ 59.1-575 a 59.1-584 (Capitulo 53 del Titulo 59.1). El gobernador Ralph Northam firmo el Proyecto de Ley del Senado 1392 el 2 de marzo de 2021, dando a las empresas un plazo de casi dos anos antes de que la ley entrara en vigor el 1 de enero de 2023. Ese cronograma convirtio a Virginia en el segundo estado del pais, despues de California, en promulgar un regimen amplio de privacidad de datos del consumidor.
La ley regula como las empresas cubiertas deben recopilar, usar y divulgar los datos personales de los residentes de Virginia. Su arquitectura se inclina mas hacia el Reglamento General de Proteccion de Datos (RGPD) de la Union Europea que hacia la CCPA de California: utiliza un marco de responsable y encargado del tratamiento, exige evaluaciones de proteccion de datos para el procesamiento de alto riesgo y, mas importante aun, exige consentimiento previo y expreso para los datos sensibles en lugar de un mecanismo de exclusion voluntaria. El estatuto define "datos personales" de manera amplia como cualquier informacion vinculada o razonablemente vinculable a una persona natural identificada o identificable, mientras excluye los datos desidentificados y la informacion disponible publicamente.
Para el marco completo de cumplimiento que cubre las obligaciones del responsable, los contratos con encargados del tratamiento y el historial de aplicacion, consulte la pagina principal de leyes de privacidad de datos de Virginia.
A quien cubre la VCDPA: umbrales de aplicabilidad y exenciones
La VCDPA alcanza a las entidades con fines de lucro que hacen negocios en Virginia o dirigen sus actividades a residentes de Virginia y cumplen con uno de dos umbrales de volumen. Bajo Va. Code Ann. § 59.1-576(A), una empresa esta cubierta si: (1) controla o procesa datos personales de al menos 100,000 consumidores de Virginia durante un ano calendario, o (2) controla o procesa datos personales de al menos 25,000 consumidores de Virginia y obtiene mas del 50% de sus ingresos brutos de la venta de datos personales.
Una distincion critica frente a algunas otras leyes estatales es que la VCDPA no establece un umbral minimo de ingresos anuales. Una pequena empresa emergente que maneja los datos de 100,000 usuarios de Virginia esta cubierta exactamente en la misma base que una empresa Fortune 500. El disparador de cobertura de la ley es totalmente por volumen.
Las exenciones en Va. Code Ann. § 59.1-576(B) son sustanciales. Los siguientes no estan sujetos a la VCDPA:
- Organizaciones sin fines de lucro
- Instituciones de educacion superior
- Organismos gubernamentales
- Entidades cubiertas por HIPAA y sus asociados comerciales
- Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Datos ya regulados por estatutos federales, incluyendo la Ley de Derechos Educativos y Privacidad Familiar (FERPA), la Ley de Informe Justo de Credito (FCRA) y la Ley de Proteccion de Privacidad del Conductor (DPPA)
Estas exenciones significan que los sistemas de salud, los bancos, las cooperativas de credito, las universidades y las organizaciones benefico permanecen en gran medida fuera del alcance de la VCDPA, incluso si manejan grandes volumenes de datos de residentes de Virginia.
Los cinco derechos del consumidor bajo la VCDPA
Los residentes de Virginia pueden ejercer cinco derechos enumerados frente a los responsables cubiertos bajo Va. Code Ann. § 59.1-577(A)(1)-(5):
- Derecho de acceso. Un consumidor puede confirmar si un responsable esta procesando sus datos personales y solicitar una copia de esos datos.
- Derecho de correccion. Un consumidor puede exigir que un responsable corrija datos personales inexactos, tomando en cuenta la naturaleza y el proposito del procesamiento.
- Derecho de eliminacion. Un consumidor puede solicitar la eliminacion de los datos personales que el consumidor proporciono o que el responsable recopilo de otra manera sobre el.
- Derecho de portabilidad. Un consumidor puede obtener una copia de sus datos personales en un formato portatil y facilmente utilizable que permita la transferencia a otro responsable.
- Derecho de exclusion voluntaria. Un consumidor puede excluirse del procesamiento para tres fines especificos: publicidad dirigida, la venta de datos personales y la elaboracion de perfiles que produzca un efecto legal o igualmente significativo sobre el consumidor.
Bajo Va. Code Ann. § 59.1-577(B), los responsables tienen 45 dias para responder a una solicitud de derechos. Pueden extender este periodo una vez por 45 dias adicionales cuando sea razonablemente necesario, siempre que notifiquen al consumidor dentro de la ventana inicial de 45 dias. Eso significa que el tiempo maximo de respuesta es de 90 dias con la notificacion adecuada.
Los responsables que denieguen una solicitud deben informar al consumidor como apelar la decision. El consumidor debe entonces tener un periodo razonable para apelar, y el responsable debe responder a la apelacion dentro de 60 dias, con una explicacion escrita si la apelacion es denegada.
Para un recorrido detallado sobre como enviar solicitudes y que estan obligadas a hacer las empresas con cada una, consulte la seccion sobre derechos del consumidor bajo la VCDPA.

Datos sensibles y el requisito de consentimiento previo
Una de las caracteristicas mas distintivas de la VCDPA es su estandar de consentimiento previo para los datos sensibles. Bajo Va. Code Ann. § 59.1-578(A)(5), un responsable no debe procesar datos sensibles sobre un consumidor sin antes obtener el consentimiento afirmativo del consumidor. Este es un acuerdo activo y previo, no una configuracion predeterminada activada con un enlace de exclusion voluntaria.
Los datos sensibles se definen en Va. Code Ann. § 59.1-575 e incluyen:
- Datos personales que revelan origen racial o etnico, creencias religiosas, diagnosticos de salud mental o fisica, orientacion sexual, o ciudadania o estatus migratorio
- Datos geneticos o biometricos procesados con el fin de identificar de manera unica a una persona natural
- Datos personales recopilados de un menor conocido
- Datos de geolocalizacion precisa
El requisito de consentimiento previo importa mas en la practica para las aplicaciones de salud, los servicios de verificacion de identidad, los servicios basados en ubicacion y las plataformas que sirven a usuarios mas jovenes. Antes de que cualquiera de esas categorias de datos pueda procesarse, el responsable debe obtener un si claro del consumidor, no simplemente proporcionar una manera de decir no despues.
Este estandar es significativamente mas estricto que la CCPA/CPRA, que solo exige que las empresas proporcionen un enlace de "Limitar el Uso de Mi Informacion Personal Sensible" y honren las solicitudes de exclusion voluntaria. El enfoque de la VCDPA se acerca mas al Articulo 9 del RGPD, que exige consentimiento explicito para datos de categoria especial.
Especificamente para los datos de menores, una enmienda de 2024 reforzo el estandar base. HB 707 (vigente desde el 1 de enero de 2025) agrego una prohibicion de recopilar datos de geolocalizacion precisa de un menor conocido menor de 13 anos, a menos que los datos sean razonablemente necesarios para el servicio, y exige que el consentimiento parental se alinee con la Ley de Proteccion de la Privacidad Infantil en Linea (COPPA). Los responsables no pueden condicionar el acceso al consentimiento para el procesamiento no necesario de los datos de un menor.
Aplicacion de la VCDPA: exclusiva del Fiscal General, subsanacion de 30 dias, hasta $7,500 por infraccion
La aplicacion de la VCDPA pertenece enteramente al Fiscal General de Virginia. Va. Code Ann. § 59.1-584 establece expresamente que "nada en este capitulo debe interpretarse como una base para, ni estara sujeto a, un derecho de accion privada por infracciones de este capitulo o bajo cualquier otra ley". Los consumidores individuales no pueden demandar a las empresas directamente por infracciones de la VCDPA, sin importar cuan grave sea la vulneracion de sus derechos.
Antes de presentar cualquier accion de aplicacion, el Fiscal General debe dar al responsable o encargado del tratamiento un aviso escrito que identifique la infraccion especifica alegada y un periodo de 30 dias para subsanarla. Si la empresa subsana la infraccion y entrega una declaracion escrita de cumplimiento dentro de esa ventana, no puede presentarse ninguna accion por esa infraccion. El periodo de subsanacion no es opcional para el Fiscal General: es un requisito previo legal.
Si la infraccion no se subsana, o si la empresa infringe nuevamente despues de proporcionar una declaracion escrita de subsanacion, el Fiscal General puede solicitar:
- Sanciones civiles de hasta $7,500 por cada infraccion
- Medidas cautelares
- Gastos razonables, honorarios de abogados y costos
Los fondos de las sanciones se depositan en el Fondo Rotatorio de Regulacion, Defensa del Consumidor, Litigio y Aplicacion bajo Va. Code Ann. § 59.1-584.
El tope de $7,500 por infraccion es identico a la sancion bajo la CCPA para infracciones intencionales, aunque la VCDPA la aplica a cada infraccion en lugar de reservar el monto mas alto para la mala conducta deliberada. Para una empresa que deniega indebidamente miles de solicitudes de consumidores, la exposicion por infraccion puede acumularse rapidamente.
Los responsables tambien deben tener en cuenta el requisito de evaluacion de proteccion de datos en Va. Code Ann. § 59.1-580: las actividades de procesamiento cubiertas, incluyendo publicidad dirigida, ventas de datos, cierta elaboracion de perfiles y procesamiento de datos sensibles, deben documentarse en una evaluacion de proteccion de datos antes de que comience la actividad. El Fiscal General puede solicitar estas evaluaciones durante una investigacion, lo que las convierte tanto en una obligacion de cumplimiento como en un objetivo de aplicacion.
Para una guia paso a paso sobre lo que deben hacer las empresas para evitar un aviso de infraccion, consulte la seccion sobre la lista de verificacion de cumplimiento de la VCDPA.

VCDPA vs. CCPA: tres diferencias clave
Las dos leyes estatales de privacidad de EE. UU. mas comparadas difieren en varios puntos que importan en la practica. Nuestra pagina de comparacion de leyes estatales de privacidad cubre mas estados, pero aqui estan las tres distinciones mas marcadas entre la VCDPA y la CCPA de California:
Estandar de consentimiento para datos sensibles. La VCDPA exige consentimiento previo y expreso antes de que un responsable pueda procesar informacion personal sensible (Va. Code Ann. § 59.1-578(A)(5)). La CCPA/CPRA utiliza un modelo de exclusion voluntaria: las empresas pueden procesar informacion personal sensible a menos y hasta que el consumidor ejerza un derecho de "Limitar el Uso" bajo Cal. Civ. Code § 1798.121. En la practica, el consentimiento previo significa que el estandar predeterminado es no procesar; la exclusion voluntaria significa que el estandar predeterminado es si, a menos que el consumidor actue.
Derecho de accion privada. La CCPA incluye un derecho de accion privada limitado para los consumidores cuya informacion personal no cifrada y no editada sea expuesta en una violacion de datos causada por el incumplimiento de una empresa en implementar procedimientos de seguridad razonables. La VCDPA no tiene ningun derecho de accion privada. Toda la aplicacion pasa por el Fiscal General.
Umbral de ingresos. La CCPA se aplica solo a las empresas que cumplen al menos uno de tres umbrales, uno de los cuales es ingresos brutos anuales superiores a $25 millones. La VCDPA no tiene un piso de ingresos. Cualquier entidad con fines de lucro que procese datos de 100,000 consumidores de Virginia esta cubierta sin importar su tamano o ingresos.
Enmiendas recientes a la VCDPA: menores, redes sociales y datos de salud reproductiva
La VCDPA ha sido enmendada tres veces desde su promulgacion en 2021, cada vez agregando obligaciones o protecciones nuevas significativas.
HB 707 (vigente desde el 1 de enero de 2025): datos de menores. El gobernador Youngkin firmo esta enmienda el 17 de mayo de 2024. Bajo la version revisada de Va. Code Ann. § 59.1-578, se prohibe a los responsables recopilar datos de geolocalizacion precisa de un menor conocido menor de 13 anos, a menos que los datos sean razonablemente necesarios para proporcionar el servicio solicitado. Los responsables tambien deben obtener consentimiento parental coherente con COPPA antes de procesar los datos personales de un menor de formas que van mas alla de lo que ya exige COPPA.
SB 854 (vigente desde el 1 de enero de 2026): redes sociales y menores. Esta enmienda de 2024 agrego Va. Code Ann. § 59.1-577.1, dirigida especificamente a las plataformas de redes sociales. Las plataformas deben usar metodos comercialmente razonables para determinar si un usuario es menor de 16 anos. Si saben o tienen razones para saber que un usuario es menor de 16 anos, deben restringir el uso diario de ese usuario a una hora por dia, a menos que un padre o tutor otorgue consentimiento para un limite mayor. Esta disposicion ya esta vigente a la fecha de este articulo.
SB 754 (vigente desde el 1 de julio de 2025): datos de salud reproductiva y sexual. Aqui es donde importa una lectura cuidadosa. SB 754 no enmienda la VCDPA. Enmienda la Ley de Proteccion al Consumidor de Virginia (VCPA), un estatuto de proteccion al consumidor separado y mas antiguo. La ley prohibe a cualquier empresa obtener, divulgar, vender o difundir informacion de identificacion personal sobre la salud reproductiva o sexual de un consumidor sin el consentimiento de ese consumidor. De manera crucial, SB 754 incluye un derecho de accion privada y se aplica ampliamente a cualquier empresa que opere en Virginia, no solo a los responsables de la VCDPA cubiertos. Los consumidores que sufren infracciones de las protecciones de datos de salud reproductiva de SB 754 pueden demandar directamente; aun asi no pueden demandar bajo la propia VCDPA.
La distincion no es un tecnicismo. Si una empresa es demasiado pequena para ser un "responsable" de la VCDPA pero aun asi recopila datos de salud reproductiva, esta de todas formas obligada por SB 754. Y si se hace un mal uso de los datos de salud reproductiva de un consumidor, sus remedios pasan por el derecho de accion privada de la VCPA, no por una queja ante el Fiscal General bajo la VCDPA.
Que significan "datos personales" y "venta" bajo la VCDPA
Comprender el alcance de la VCDPA requiere conocer como define dos terminos fundamentales.
"Datos personales" bajo Va. Code Ann. § 59.1-575 significa cualquier informacion que este vinculada o razonablemente vinculable a una persona natural identificada o identificable. Excluye expresamente los datos desidentificados y la informacion disponible publicamente. El calificativo de "persona natural" significa que los datos entre empresas y los datos de empleados usados unicamente para fines laborales no estan dentro del alcance (un contraste significativo con California, que paso anos debatiendo las exclusiones de datos de RR.HH.).
"Venta de datos personales" se define como el intercambio de datos personales por una contraprestacion monetaria del responsable a un tercero. Esta definicion es mas limitada que la de la CCPA. La definicion de "venta" de la CCPA fue ampliada por la CPRA para cubrir el "compartir" con fines de publicidad de comportamiento entre contextos, incluso sin pago. Bajo la VCDPA, una transferencia sin contraprestacion monetaria, como compartir datos con un socio publicitario a cambio de servicios en lugar de dinero en efectivo, puede no calificar como una "venta" que active el derecho de exclusion voluntaria, aunque de todos modos estaria cubierta por el derecho de exclusion voluntaria de publicidad dirigida si se usa para ese fin.
Los responsables no deben confiar unicamente en la definicion de venta para determinar si se aplican los derechos de exclusion voluntaria. El derecho de un consumidor a excluirse de la "publicidad dirigida" es separado de su derecho a excluirse de la "venta", y ambos derechos deben honrarse sin importar si hay intercambio de dinero.
Mas Leyes de Virginia
- Leyes de Grabacion con IA en Reuniones de Virginia
- Leyes de Pension Alimenticia de Virginia
- Leyes de Empleo a Voluntad de Virginia
- Leyes de Accidentes de Auto de Virginia
- Leyes de Asientos para Auto de Virginia
- Leyes de Custodia de Menores de Virginia
- Leyes de Manutencion Infantil de Virginia
- Leyes de Matrimonio de Hecho de Virginia
- Leyes de Deepfake de Virginia
- Leyes de Divorcio de Virginia
- Leyes de Choque y Fuga de Virginia
- Leyes de Emancipacion de Virginia
- Leyes de Eliminacion de Antecedentes de Virginia
- Leyes de Choque y Fuga de Virginia
- Leyes de Propietarios e Inquilinos de Virginia
- Leyes del Limon de Virginia
Guias relacionadas
- Derechos del Consumidor Bajo la VCDPA: Ejerza sus Derechos de Privacidad en Virginia
- Lista de Verificacion de Cumplimiento de la VCDPA para Empresas (2026)
- Leyes de Privacidad de Datos de Virginia: Guia de Derechos del Consumidor de la VCDPA (2026)
- Leyes de Privacidad Biometrica de Virginia: Recopilacion, Consentimiento y Sanciones (2026)
- Tabla Comparativa de Leyes Estatales de Privacidad en EE. UU. (2026)
Preguntas frecuentes
¿Que es la VCDPA?
La VCDPA, o Ley de Proteccion de Datos del Consumidor de Virginia, es la ley integral de privacidad de datos de Virginia codificada en Va. Code Ann. §§ 59.1-575 a 59.1-584. Firmada en marzo de 2021 y vigente desde el 1 de enero de 2023, otorga a los residentes de Virginia derechos sobre sus datos personales y exige a las empresas cubiertas ser transparentes sobre la recopilacion y el uso. Virginia fue el segundo estado, despues de California, en promulgar una ley de este alcance.
¿A quien se aplica la VCDPA?
La VCDPA se aplica a empresas con fines de lucro que hacen negocios en Virginia o dirigen sus actividades a residentes de Virginia y cumplen uno de dos umbrales: procesan datos personales de al menos 100,000 consumidores de Virginia por ano, O procesan datos de al menos 25,000 consumidores de Virginia y obtienen mas del 50% de sus ingresos brutos de la venta de datos personales. No hay un umbral minimo de ingresos. Las organizaciones sin fines de lucro, las entidades cubiertas por HIPAA, las instituciones financieras reguladas por la GLBA, los organismos gubernamentales y los datos ya regulados por FERPA, FCRA o la DPPA estan exentos.
¿Que derechos tienen los consumidores de Virginia bajo la VCDPA?
Los residentes de Virginia tienen cinco derechos: el derecho a acceder y confirmar si sus datos estan siendo procesados, el derecho a corregir datos inexactos, el derecho a eliminar sus datos personales, el derecho a recibir una copia portatil y el derecho a excluirse de la publicidad dirigida, las ventas de datos personales y la elaboracion de perfiles que produzca un efecto legal o igualmente significativo. Los responsables deben responder dentro de 45 dias, con una posible extension de 45 dias adicionales con notificacion.
¿Cual es la sancion por infringir la VCDPA?
Las sanciones civiles pueden alcanzar hasta $7,500 por infraccion. El Fiscal General tambien puede buscar medidas cautelares y recuperar honorarios de abogados y gastos razonables. Antes de presentar cualquier accion, el Fiscal General debe proporcionar un aviso escrito de la infraccion y una oportunidad de subsanacion de 30 dias. Si la empresa subsana la infraccion y presenta una declaracion escrita de cumplimiento, no puede proceder ninguna accion de aplicacion por esa infraccion.
¿La VCDPA tiene un derecho de accion privada?
No. Va. Code Ann. § 59.1-584 prohibe expresamente cualquier derecho de accion privada bajo la VCDPA. La aplicacion es exclusiva del Fiscal General de Virginia. Los consumidores individuales no pueden demandar a las empresas directamente por infracciones de la VCDPA, sin importar cuan grave sea la infraccion. Este es uno de los contrastes mas marcados con la CCPA, que otorga un derecho de accion privada limitado para violaciones de datos.
¿En que se diferencia la VCDPA de la CCPA?
Se destacan tres diferencias principales. Primero, la VCDPA exige consentimiento previo y expreso antes de procesar informacion personal sensible; la CCPA y la CPRA utilizan un modelo de exclusion voluntaria. Segundo, la VCDPA no tiene un derecho de accion privada, mientras que la CCPA permite a los consumidores individuales demandar por violaciones de datos. Tercero, la VCDPA no tiene un umbral minimo de ingresos, por lo que cualquier entidad con fines de lucro que procese los datos de 100,000 consumidores de Virginia esta cubierta sin importar su tamano; la CCPA solo se aplica a las empresas que cumplen uno de tres umbrales, incluyendo $25 millones en ingresos anuales.
¿Que se considera dato sensible bajo la VCDPA?
Bajo Va. Code Ann. § 59.1-575, los datos sensibles incluyen: datos personales que revelan origen racial o etnico, creencias religiosas, diagnosticos de salud mental o fisica, orientacion sexual, o ciudadania o estatus migratorio; datos geneticos o biometricos procesados para identificar de manera unica a una persona; datos personales recopilados de un menor conocido; y datos de geolocalizacion precisa. Los responsables deben obtener consentimiento previo antes de procesar cualquiera de estas categorias.
¿La VCDPA ha sido enmendada desde que se promulgo?
Si, tres veces. HB 707 (vigente desde el 1 de enero de 2025) agrego protecciones de datos de menores bajo la VCDPA, incluyendo una prohibicion de recopilar datos de geolocalizacion precisa de menores de 13 anos a menos que sea necesario para el servicio. SB 854 (vigente desde el 1 de enero de 2026) agrego restricciones de redes sociales para usuarios menores de 16 anos, limitando el uso diario a una hora a menos que un padre de su consentimiento para mas. Una ley separada de 2025, SB 754 (vigente desde el 1 de julio de 2025), protege los datos de salud reproductiva y sexual, pero lo hace enmendando la Ley de Proteccion al Consumidor de Virginia, no la VCDPA, e incluye su propio derecho de accion privada.
Fuentes y referencias
- Va. Code Ann. §§ 59.1-575 a 59.1-584, Ley de Proteccion de Datos del Consumidor de Virginia, Capitulo 53 del Titulo 59.1(law.lis.virginia.gov).gov
- Va. Code Ann. § 59.1-575, Definiciones (incluyendo 'datos sensibles', 'datos personales', 'venta de datos personales')(law.lis.virginia.gov).gov
- Va. Code Ann. § 59.1-576, Alcance y Aplicabilidad (umbrales de 100,000/25,000; exenciones)(law.lis.virginia.gov).gov
- Va. Code Ann. § 59.1-577, Derechos del Consumidor (acceso, correccion, eliminacion, portabilidad, exclusion voluntaria; respuesta en 45 dias)(law.lis.virginia.gov).gov
- Va. Code Ann. § 59.1-578, Responsabilidades del Responsable (consentimiento previo para datos sensibles; enmienda HB 707 sobre datos de menores)(law.lis.virginia.gov).gov
- Va. Code Ann. § 59.1-580, Evaluaciones de Proteccion de Datos(law.lis.virginia.gov).gov
- Va. Code Ann. § 59.1-584, Aplicacion y Sanciones (exclusiva del Fiscal General; subsanacion de 30 dias; $7,500 por infraccion; sin derecho de accion privada)(law.lis.virginia.gov).gov
- Sistema de Informacion Legislativa de Virginia, SB 1392 (Sesion Regular 2021, proyecto de ley original que promulgo la VCDPA)(lis.virginia.gov).gov
- Sistema de Informacion Legislativa de Virginia, SB 754 (Sesion 2025, protecciones de datos de salud reproductiva/sexual bajo la VCPA, vigente 1 de julio de 2025)(lis.virginia.gov).gov
- Fiscal General de Virginia, Declaracion del Dia de la Privacidad de Datos, 28 de enero de 2025 (Fiscal General Miyares sobre derechos de datos del consumidor)(oag.state.va.us).gov
- Fiscal General de Virginia Jay Jones, Recordatorio de Derechos de Privacidad de Datos del Consumidor(oag.state.va.us).gov