RGPD vs. CCPA: Principales Diferencias Explicadas (2026)
El Reglamento (UE) 2016/679 (RGPD) exige una base jurídica documentada antes de iniciar cualquier tratamiento de datos personales, lo que lo convierte en un marco de tipo "opt-in" (consentimiento previo). La CCPA de California, codificada en el Código Civil de California, sección 1798.100, permite la recopilación de datos por defecto y otorga a los consumidores el derecho a oponerse ("opt-out"). Esa diferencia estructural define la división entre ambas leyes.
El Reglamento General de Protección de Datos de la UE (RGPD) y el régimen de privacidad del consumidor de California (la Ley de Privacidad del Consumidor de California, CCPA, reformulada de manera fundamental por la Ley de Derechos de Privacidad de California, CPRA) son los dos marcos de privacidad de datos más influyentes del mundo de habla inglesa. Ambos otorgan a las personas un control significativo sobre su información personal. Más allá de esa amplia coincidencia, ambas leyes divergen de manera considerable en su ámbito de aplicación, su filosofía, su modelo de consentimiento, sus mecanismos de aplicación y las obligaciones específicas que imponen a las organizaciones.
Esta guía compara cada una de las dimensiones principales del RGPD y la CCPA/CPRA, incorpora la normativa de septiembre de 2025 de la CPPA sobre toma de decisiones automatizadas, y finaliza con orientación práctica para las empresas que deben cumplir con ambos marcos.
Respuesta Rápida
El RGPD es un marco basado en el consentimiento previo ("opt-in") que abarca prácticamente a cualquier organización que trate datos de residentes de la UE/EEE. La CCPA/CPRA es un marco de exclusión voluntaria ("opt-out") que abarca a las empresas con fines de lucro de California que cumplan con los umbrales de tamaño definidos. Las sanciones del RGPD superan ampliamente a las de la CCPA en términos de montos máximos, pero la agencia de aplicación específica de California, la CPPA, ha acelerado de manera considerable su ritmo de aplicación desde 2024.
Los Dos Regímenes de un Vistazo
| Característica | RGPD | CCPA/CPRA |
|---|---|---|
| Promulgación / entrada en vigor | 25 de mayo de 2018 | 1 de enero de 2020 (CCPA); 1 de enero de 2023 (enmiendas de la CPRA) |
| Ámbito geográfico | UE/EEE + extraterritorial | Residentes de California + extraterritorial |
| Quién debe cumplir | Prácticamente todos los responsables y encargados del tratamiento | Empresas con fines de lucro que cumplan los umbrales |
| Umbral de ingresos | Ninguno | Ingresos brutos anuales superiores a 25 millones de dólares |
| Umbral de volumen de datos | Ninguno | 100 000 o más consumidores u hogares por año |
| Umbral de ingresos por venta de datos | Ninguno | 50% o más de los ingresos anuales provenientes de la venta o el intercambio de información personal |
| Modelo de consentimiento | Opt-in (requiere base jurídica) | Opt-out |
| ¿Se requiere DPD? | Sí (ciertas organizaciones) | No |
| Notificación de vulneraciones | 72 horas a la autoridad supervisora | "En el plazo más expedito posible" (ley de California independiente) |
| Sanción regulatoria máxima | 20 millones de euros o el 4% de los ingresos globales | 7500 dólares por infracción intencional |
| Derecho de acción privada | Limitado, varía según el Estado miembro | Sí, para vulneraciones de datos que califiquen |
| Agencia de aplicación específica | Autoridades de protección de datos en más de 27 Estados miembros de la UE/EEE | Agencia de Protección de la Privacidad de California (CPPA) |
| Derecho de exclusión de ADMT | Derecho a revisión humana (art. 22) | Derecho a excluirse de la ADMT (CPRA + normas de 2025) |
Ámbito de Aplicación y Quién Debe Cumplir
El Alcance Territorial del RGPD
El RGPD se aplica a cualquier organización, sin importar dónde esté constituida o dónde se encuentre físicamente, que trate datos personales de personas ubicadas en el Espacio Económico Europeo. Una empresa de software como servicio (SaaS) con sede en Chicago que tenga clientes en la UE queda sujeta al RGPD. Un fabricante japonés de artículos electrónicos cuyo sitio web esté dirigido a consumidores de la UE también queda sujeto al RGPD. El artículo 3 deja explícito este alcance extraterritorial: el reglamento se aplica a las organizaciones que ofrecen bienes o servicios a personas del EEE o que monitorean su comportamiento dentro del EEE.
Las organizaciones fuera de la UE/EEE que entren dentro del ámbito de aplicación del RGPD deben designar un representante en la UE conforme al artículo 27, salvo que califiquen para una excepción limitada.
El Modelo de Umbrales de la CCPA/CPRA
La CCPA, vigente desde el 1 de enero de 2020 y modificada de manera significativa por la CPRA (Proposición 24, aprobada por los votantes de California en noviembre de 2020, con la mayoría de sus enmiendas vigentes desde el 1 de enero de 2023), se aplica a las empresas con fines de lucro que recopilan información personal de residentes de California y cumplen al menos uno de los siguientes tres umbrales:
- Ingresos brutos anuales superiores a 25 millones de dólares
- Comprar, vender, recibir o compartir con fines comerciales la información personal de 100 000 o más consumidores u hogares al año
- Obtener el 50% o más de sus ingresos anuales de la venta o el intercambio de información personal de los consumidores
Las organizaciones sin fines de lucro y las agencias gubernamentales quedan completamente fuera del ámbito de aplicación de la CCPA/CPRA. El RGPD, en cambio, abarca prácticamente a todas las organizaciones que tratan datos personales (incluidas las organizaciones sin fines de lucro, los organismos públicos y las pequeñas empresas), con excepciones limitadas únicamente para actividades puramente personales o domésticas.
Definiciones: Datos Personales vs. Información Personal
RGPD: una definición amplia centrada en la persona
El RGPD define los "datos personales" como cualquier información relativa a una persona física identificada o identificable. Esta definición deliberadamente amplia abarca nombres, números de identificación, datos de ubicación, identificadores en línea (direcciones IP, identificadores de cookies) y factores propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de una persona. Los datos agregados y anonimizados que no puedan volver a identificarse quedan fuera de la definición; los datos seudonimizados, en general, no quedan excluidos.
El artículo 9 crea una categoría reforzada de "categorías especiales" para los datos que revelan el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos tratados para identificar de manera unívoca a una persona, los datos relativos a la salud y los datos relativos a la vida sexual o la orientación sexual. El tratamiento de datos de categorías especiales requiere el consentimiento explícito u otro fundamento jurídico específico.
CCPA/CPRA: alcance sobre el consumidor y el hogar
La CCPA define la "información personal" como aquella que identifica, se relaciona, describe, puede razonablemente asociarse o podría razonablemente vincularse con un consumidor u hogar en particular. Las diferencias notables respecto de la definición del RGPD son las siguientes: la CCPA cubre explícitamente los datos a nivel de hogar y excluye la información disponible al público que la empresa tenga motivos razonables para creer que el consumidor expuso voluntariamente al público en general.
Las enmiendas de la CPRA agregaron una categoría de "información personal sensible" que refleja parcialmente las categorías especiales del RGPD. La información personal sensible de la CPRA abarca los números de seguro social, los datos de cuentas financieras, la geolocalización precisa, el origen racial o étnico, las creencias religiosas, el contenido de las comunicaciones, los datos genéticos, los datos biométricos tratados con fines de identificación, la información de salud y los datos relativos a la vida sexual o la orientación sexual. Las normas de 2025 de la CPPA ampliaron aún más la información personal sensible para incluir los datos neuronales y la información personal de los consumidores que la empresa sepa que son menores de 16 años.
| Concepto de Datos | RGPD | CCPA/CPRA |
|---|---|---|
| Datos protegidos principales | Datos personales (persona física identificada o identificable) | Información personal (consumidor u hogar) |
| Datos del hogar | No incluidos explícitamente | Incluidos |
| Datos disponibles al público | Siguen siendo datos personales si identifican a alguien | Excluidos de la definición |
| Datos de empleados y B2B | Totalmente cubiertos | Cubiertos (la CPRA eliminó las exenciones temporales desde enero de 2023) |
| Categoría sensible reforzada | Categorías especiales (art. 9) | Información personal sensible (CPRA) |
| Datos neuronales | Cubiertos como datos de salud o biométricos | Agregados explícitamente por las normas de la CPPA de 2025 |
El Modelo de Consentimiento: Opt-In vs. Opt-Out
Esta es la divergencia filosófica más marcada entre ambos marcos.
RGPD: consentimiento previo basado en autorización
El RGPD funciona bajo un modelo basado en la autorización previa. Las organizaciones no pueden tratar datos personales sin antes establecer una de las seis bases jurídicas previstas en el artículo 6: el consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el ejercicio de poderes públicos o el interés legítimo. La base jurídica debe identificarse y documentarse antes de que comience el tratamiento.
Cuando se elige el consentimiento como base, el artículo 7 exige que este sea libre, específico, informado e inequívoco. Las casillas premarcadas, el silencio y los consentimientos combinados no son válidos. Para los datos de categorías especiales y los datos de menores, el RGPD exige un consentimiento explícito: una declaración afirmativa y no una mera conducta que sugiera acuerdo.
CCPA/CPRA: exclusión voluntaria basada en la actividad
La CCPA sigue un modelo de exclusión voluntaria para la mayoría de los tratamientos. Las empresas pueden recopilar y usar información personal sin consentimiento previo, pero deben: (1) divulgar sus prácticas de datos en un aviso de privacidad; (2) ofrecer un enlace de "No Vender ni Compartir Mi Información Personal"; y (3) atender las solicitudes de exclusión de los consumidores. La CPRA agregó el derecho a limitar el uso de la información personal sensible, que funciona como una exclusión focalizada.
Existen dos excepciones notables que exigen consentimiento previo: las empresas deben obtener el consentimiento previo antes de vender o compartir la información personal de los consumidores que sepan que son menores de 16 años (con el consentimiento de un padre, madre o tutor para los menores de 13 años), y se requiere consentimiento previo para volver a contactar a un consumidor que se haya excluido durante al menos 12 meses.
| Dimensión del Consentimiento | RGPD | CCPA/CPRA |
|---|---|---|
| Postura por defecto | El tratamiento está prohibido hasta que se establezca una base jurídica | El tratamiento está permitido; el consumidor puede excluirse |
| Cuándo se utiliza el consentimiento | Debe ser libre, específico, informado e inequívoco | No se requiere para la mayoría de los tratamientos |
| Menores | Consentimiento parental por debajo de 16 años (los Estados miembros pueden reducirlo a 13) | Se requiere consentimiento previo para la venta o el intercambio de datos de menores de 16 años |
| Datos sensibles | Se requiere consentimiento explícito u otra excepción específica (art. 9) | Derecho a limitar el uso (modelo de exclusión) |
| Recontacto tras la exclusión | Sin equivalente (la revocación debe ser tan fácil como otorgar el consentimiento) | Espera de 12 meses antes de volver a solicitarlo |
Comparación de los Derechos del Consumidor y del Titular de los Datos
Ambas leyes otorgan a las personas un conjunto de derechos de privacidad. Los derechos del RGPD son más amplios y los motivos de excepción son más restringidos.
| Derecho | RGPD | CCPA/CPRA |
|---|---|---|
| Derecho a saber / acceder | Sí (art. 15) | Sí (ampliado por la CPRA para cubrir 12 meses) |
| Derecho a eliminar / supresión | Sí, "derecho al olvido" (art. 17) | Sí, con más excepciones para las empresas |
| Derecho de rectificación | Sí (art. 16) | Sin equivalente |
| Derecho a la portabilidad de los datos | Sí (art. 20) | Sí (agregado por la CPRA) |
| Derecho a limitar el tratamiento | Sí (art. 18) | Limitado a la información personal sensible |
| Derecho de oposición | Sí (art. 21) | Sin equivalente directo |
| Derecho a excluirse de la venta | Sin concepto de "venta" | Sí, derecho central de la CCPA |
| Derecho a excluirse del intercambio | Sin concepto de "intercambio" | Sí (agregado por la CPRA) |
| Derecho a limitar el uso de datos sensibles | Regido por las restricciones del art. 9 | Sí (agregado por la CPRA) |
| Derecho a la no discriminación | Principios generales de igualdad | Derecho explícito; se permiten programas de incentivos con divulgación |
| Toma de decisiones automatizada | Derecho a revisión humana; derecho a impugnar (art. 22) | Derecho a excluirse de la ADMT más derecho de acceso (CPRA y normas de 2025) |
El derecho del artículo 22 del RGPD frente a las decisiones exclusivamente automatizadas es más fuerte en un aspecto: se aplica por defecto y requiere una justificación afirmativa para dejarlo sin efecto. El derecho de la CCPA/CPRA a excluirse de la ADMT es un derecho de exclusión: las empresas que utilizan ADMT pueden seguir haciéndolo hasta que un consumidor ejerza dicha exclusión.
Información Personal Sensible
Ambos marcos crean una categoría reforzada de datos que recibe una protección mayor, aunque la definen y la regulan de manera distinta.
En virtud del RGPD, el tratamiento de datos de "categorías especiales" está prohibido por defecto. Para tratarlos, las organizaciones deben identificar tanto una base jurídica conforme al artículo 6 como una condición específica conforme al artículo 9: por ejemplo, el consentimiento explícito, las obligaciones derivadas del derecho laboral, la protección de intereses vitales cuando no pueda obtenerse el consentimiento, o las actividades legítimas de organismos sin fines de lucro. Los datos biométricos tratados con el fin de identificar de manera unívoca a una persona constituyen una categoría especial.
En virtud de la CCPA/CPRA, los consumidores tienen derecho a indicar a una empresa que limite el uso y la divulgación de su información personal sensible a la finalidad para la que fue recopilada u otros usos específicamente permitidos. Las empresas deben ofrecer un enlace de "Limitar el Uso de Mi Información Personal Sensible" (que puede combinarse con el enlace de "No Vender ni Compartir"). Las normas de 2025 de la CPPA ampliaron la información personal sensible para incluir los datos neuronales y la información personal de los menores conocidos de menos de 16 años.
Aplicación y Sanciones
Aplicación del RGPD
El RGPD es aplicado por autoridades de protección de datos (APD) independientes en cada Estado miembro de la UE/EEE. El artículo 83 establece una estructura sancionadora de dos niveles:
- Nivel inferior (hasta 10 millones de euros o el 2% de la facturación anual global): infracciones de las obligaciones de los responsables y encargados del tratamiento, de las normas de certificación y de las normas de los organismos de supervisión.
- Nivel superior (hasta 20 millones de euros o el 4% de la facturación anual global): infracciones de los principios fundamentales del tratamiento de datos, de las condiciones de consentimiento, de los derechos de los titulares de los datos y de las normas de transferencia internacional.
El total acumulado de multas del RGPD había superado los 5800 millones de euros a comienzos de 2025. Entre las medidas de aplicación recientes más destacadas se encuentran la multa de 1200 millones de euros que la Comisión de Protección de Datos de Irlanda impuso a Meta en mayo de 2023 por transferencias ilícitas de datos a Estados Unidos (la mayor multa individual del RGPD registrada hasta la fecha) y una multa de 310 millones de euros contra LinkedIn en octubre de 2024 por tratamiento ilícito con fines de publicidad conductual.
Aplicación de la CCPA/CPRA
El Fiscal General de California aplicó la CCPA desde la fecha de inicio de su vigencia sancionadora, el 1 de julio de 2020, hasta mediados de 2023. La Agencia de Protección de la Privacidad de California (CPPA) asumió la autoridad principal de aplicación en julio de 2023 y es la primera agencia estatal dedicada exclusivamente a la aplicación de normas de privacidad en Estados Unidos.
Las sanciones bajo la CCPA/CPRA son las siguientes:
- Hasta 2500 dólares por infracción no intencional
- Hasta 7500 dólares por infracción intencional, o por infracción relacionada con la información personal de un menor
- La CPPA ajusta los montos de las sanciones en enero de los años impares para reflejar los cambios del índice de precios al consumidor
El ritmo de aplicación de la CPPA se ha acelerado de manera considerable. Entre los acuerdos destacados de 2025 se encuentran:
- Tractor Supply Company: 1.35 millones de dólares por infracciones a la CCPA
- American Honda Motor Co.: 632 500 dólares por infracciones a la CCPA, la segunda multa más alta en la historia de la ley hasta ese momento
- Todd Snyder, Inc.: 345 178 dólares por administrar de manera indebida su portal de privacidad, incluida la exigencia de que los consumidores verificaran su identidad antes de ejercer sus derechos de exclusión
| Dimensión de la Aplicación | RGPD | CCPA/CPRA |
|---|---|---|
| Autoridad de aplicación | APD nacionales (más de 27 en la UE/EEE) | Fiscal General de California y la CPPA |
| Multa regulatoria máxima | 20 millones de euros o el 4% de los ingresos anuales globales | 7500 dólares por infracción intencional |
| Período de subsanación | Sin período de subsanación obligatorio | 30 días de subsanación (solo en la aplicación por el Fiscal General; sin derecho de subsanación en la aplicación de la CPPA) |
| Mecanismo transfronterizo | Ventanilla única a través de la APD principal | Solo jurisdicción de California |
| Derecho de acción privada | Limitado (varía según el Estado miembro; art. 82) | Sí, para vulneraciones de datos que califiquen (Código Civil de California, sección 1798.150) |
El Derecho de Acción Privada
Ambas leyes ofrecen ciertos derechos de litigio individual, pero su alcance difiere de manera sustancial.
El Artículo 82 del RGPD
El artículo 82 del RGPD otorga a cualquier persona que haya sufrido un daño material o inmaterial como consecuencia de una infracción del RGPD el derecho a recibir una indemnización del responsable o del encargado del tratamiento. En la práctica, la disponibilidad y el alcance de las acciones colectivas por daños derivados del RGPD varía considerablemente según el Estado miembro; el derecho de la UE no impone un mecanismo unificado de acción colectiva.
La Sección 1798.150 de la CCPA
El derecho de acción privada de la CCPA es más limitado que el derecho general de indemnización del RGPD. En virtud de la sección 1798.150 del Código Civil de California, los consumidores solo pueden demandar por vulneraciones de datos que califiquen, es decir, aquellas que involucren información personal no cifrada o no redactada (o direcciones de correo electrónico combinadas con contraseñas o preguntas de seguridad) y que sean consecuencia de que la empresa no haya implementado medidas de seguridad razonables. Los daños legales oscilan entre 100 y 750 dólares por consumidor por incidente, o los daños reales si estos fueran superiores.
El derecho de acción privada no se extiende a las infracciones de los derechos de acceso, eliminación, exclusión u otros derechos de la CCPA fuera del contexto de vulneraciones de datos. Esas infracciones son sancionadas exclusivamente por la CPPA o el Fiscal General.
En 2025, varias resoluciones de tribunales federales de distrito de California señalaron una posible ampliación del derecho de acción privada a situaciones en las que las tecnologías de rastreo de terceros constituyen una divulgación no autorizada de información personal. Los profesionales del derecho de la privacidad siguen de cerca estos casos.
Las Normas de 2025 de la CPPA: Toma de Decisiones Automatizadas (ADMT), Evaluaciones de Riesgo y Auditorías de Ciberseguridad
La Junta de la CPPA adoptó un conjunto integral de normas el 24 de julio de 2025. La Oficina de Derecho Administrativo de California las aprobó y registró el 22 de septiembre de 2025. Estas normas representan la ampliación más significativa del marco de privacidad de California desde la entrada en vigor de la CPRA.
Tecnología de Toma de Decisiones Automatizadas (ADMT)
Las normas de 2025 sobre ADMT implementan los derechos de los consumidores introducidos por la CPRA. Se entiende por ADMT cualquier tecnología que trate información personal y utilice el cómputo para ejecutar una decisión, reemplazar la toma de decisiones humana o facilitar sustancialmente dicha toma de decisiones.
Las normas otorgan a los consumidores dos derechos respecto de las empresas que utilizan ADMT para tomar decisiones significativas:
- Derecho a excluirse del uso que la empresa haga de la ADMT para tomar decisiones significativas que afecten al consumidor, incluidas la elegibilidad laboral, las decisiones de crédito, la vivienda, el tratamiento de salud y el acceso a la educación.
- Derecho de acceso a información sobre cómo se utiliza la ADMT, incluida la lógica involucrada y la relevancia del resultado.
Las empresas que utilicen ADMT para tomar decisiones significativas deben cumplir a partir del 1 de enero de 2027. Las empresas que utilicen ADMT para la segmentación publicitaria cuentan con un cronograma de cumplimiento independiente conforme a las normas.
Este derecho es conceptualmente similar, pero estructuralmente distinto, al derecho del artículo 22 del RGPD: el artículo 22 del RGPD prohíbe las decisiones exclusivamente automatizadas que produzcan efectos jurídicos o significativos similares, salvo que se cumpla una de tres condiciones específicas; el derecho de la CCPA/CPRA es un derecho de exclusión que deja operativa la ADMT hasta que un consumidor lo invoque.
Evaluaciones de Riesgo
Las empresas deben realizar evaluaciones de riesgo antes de llevar a cabo ciertas actividades de tratamiento que representen un riesgo significativo para la privacidad de los consumidores. Las evaluaciones de riesgo funcionan de manera similar a las evaluaciones de impacto de privacidad tradicionales y deben documentarse, revisarse al menos cada tres años y actualizarse dentro de los 45 días posteriores a un cambio material en la actividad de tratamiento. Las empresas deben presentar una certificación y un resumen de las conclusiones a la CPPA a más tardar el 1 de abril de 2028.
Auditorías de Ciberseguridad
Las empresas que cumplan con los umbrales definidos deben realizar auditorías anuales de ciberseguridad. La presentación de las certificaciones ante la CPPA se escalona de la siguiente manera:
- 1 de abril de 2028: empresas con ingresos anuales superiores a 100 millones de dólares
- 1 de abril de 2029: empresas con ingresos anuales de entre 50 y 100 millones de dólares
- 1 de abril de 2030: empresas con ingresos anuales inferiores a 50 millones de dólares
El requisito de auditoría de ciberseguridad no tiene un equivalente directo en el RGPD, aunque este exige medidas técnicas y organizativas apropiadas conforme a los artículos 25 y 32.
La fecha de entrada en vigor general para las cuatro áreas normativas es el 1 de enero de 2026, y la obligación de cumplimiento en materia de ADMT para decisiones significativas se difiere hasta el 1 de enero de 2027.
Transferencias Internacionales de Datos
El RGPD regula de manera estricta las transferencias de datos personales fuera del EEE. Las organizaciones solo pueden transferir datos a países que cuenten con una decisión de adecuación de la UE, o a través de mecanismos como las Cláusulas Contractuales Tipo (SCC), las Normas Corporativas Vinculantes (BCR) o el Marco de Privacidad de Datos UE-EE. UU. Para obtener más información sobre el régimen de transferencias de la UE, consulte nuestra guía sobre las leyes de privacidad de datos de la UE.
La CCPA/CPRA no impone restricciones a las transferencias internacionales de datos. Una empresa de California puede transferir información personal a cualquier país. Las transferencias que constituyan una "venta" o un "intercambio" siguen sujetas a los derechos de exclusión, y las normas de 2025 sobre evaluaciones de riesgo se aplican a ciertas transferencias transfronterizas que presenten un riesgo significativo para la privacidad.
Delegados de Protección de Datos e Infraestructura de Cumplimiento
El RGPD exige que ciertas organizaciones designen a un Delegado de Protección de Datos (DPD) conforme al artículo 37: las autoridades públicas, las organizaciones cuyas actividades principales impliquen el monitoreo sistemático a gran escala de personas, y las organizaciones que traten datos de categorías especiales a gran escala. El DPD debe reportar a la alta dirección, actuar de manera independiente, y no puede ser sancionado por el desempeño de sus funciones.
La CCPA/CPRA no exige una función equivalente. Las empresas deben responder a las solicitudes de los consumidores dentro de plazos definidos (45 días, con una prórroga de 45 días adicionales), conservar los registros de las solicitudes durante al menos 24 meses y mantener prácticas de seguridad razonables, pero no existe una estructura de gobernanza interna de privacidad obligatoria.
Ambas leyes exigen el mantenimiento de registros. El artículo 30 del RGPD exige Registros de Actividades de Tratamiento (RAT) detallados. La CCPA/CPRA exige registros de las solicitudes de los consumidores y de cómo fueron atendidas.
Notificación de Vulneraciones de Datos
En virtud del RGPD, las organizaciones deben notificar a su autoridad supervisora dentro de las 72 horas posteriores a tener conocimiento de una vulneración de datos personales que suponga un riesgo para los derechos y libertades de las personas. Si la vulneración supone un alto riesgo, la organización también debe notificar directamente a las personas afectadas. Nuestro panorama del RGPD aborda en detalle los requisitos de notificación de vulneraciones.
La CCPA/CPRA no contiene una norma propia de notificación de vulneraciones. California se rige por su estatuto preexistente de notificación de vulneraciones (Código Civil de California, sección 1798.82), que exige notificar a los residentes afectados "en el plazo más expedito posible y sin demora injustificada". El derecho de acción privada de la CCPA conforme a la sección 1798.150 está específicamente vinculado a las vulneraciones de información personal no cifrada o no redactada.
El Panorama más Amplio de la Privacidad en Estados Unidos
La CCPA/CPRA no surgió de manera aislada, y no permaneció como un caso único por mucho tiempo. A comienzos de 2026, aproximadamente 20 estados de EE. UU. han promulgado leyes integrales de privacidad del consumidor. Indiana, Kentucky y Rhode Island cuentan con leyes que entran en vigor el 1 de enero de 2026. Si bien en 2025 no se promulgó ninguna nueva ley estatal integral de privacidad (el primer vacío de este tipo en cinco años), el enfoque en Estados Unidos se ha desplazado de la legislación hacia la aplicación y la elaboración de normas.
Ninguna de las demás leyes estatales iguala a la CCPA/CPRA en rigor, en la amplitud de los derechos de los consumidores o en la existencia de una agencia de aplicación específica. Para las empresas que operan a nivel nacional, un programa que cumpla con la CCPA/CPRA ofrece una base sólida para el cumplimiento multiestatal, generalmente con ajustes para las definiciones, umbrales y mecanismos de exclusión específicos de cada estado.
No existe una ley federal integral de privacidad en Estados Unidos a la fecha de esta revisión.
Cómo Deberían Abordar el Cumplimiento las Empresas Sujetas a Ambas Leyes
Las organizaciones que atienden tanto al mercado de la UE/EEE como al de California suelen construir un programa de privacidad unificado basado en el cumplimiento del RGPD. Dado que el RGPD es el marco más estricto en la mayoría de las áreas, su cumplimiento suele satisfacer la mayoría de los requisitos básicos de la CCPA/CPRA. Lo contrario no es cierto.
Las siguientes obligaciones específicas de la CCPA/CPRA persisten incluso para las organizaciones que cumplen con el RGPD:
- El enlace "No Vender ni Compartir Mi Información Personal" en la página de inicio y en la política de privacidad (sin equivalente en el RGPD)
- El enlace "Limitar el Uso de Mi Información Personal Sensible" (o un enlace combinado)
- Divulgaciones sobre incentivos financieros: las empresas que ofrezcan recompensas o diferencias de precio vinculadas a la recopilación de datos deben explicar la base de valoración
- Avisos de exclusión y de acceso a la ADMT (vigentes desde el 1 de enero de 2027 para las decisiones significativas)
- Evaluaciones de riesgo para ciertas actividades de tratamiento de alto riesgo (vigentes desde el 1 de enero de 2026)
- Auditorías anuales de ciberseguridad si se cumplen los umbrales de ingresos y de tratamiento de datos
- Contratos con proveedores de servicios que utilicen la terminología específica de la CCPA además del lenguaje de los acuerdos de encargado del tratamiento del RGPD
Para conocer el lado del RGPD de un programa de cumplimiento dual, consulte nuestro panorama de las leyes de privacidad de datos de la UE y nuestra guía sobre qué exige el RGPD.
Avances Recientes
Septiembre de 2025: la CPPA finalizó las normas sobre ADMT, auditorías de ciberseguridad, evaluaciones de riesgo y actualizaciones de la CCPA. Fecha de entrada en vigor general: 1 de enero de 2026. El cumplimiento de la ADMT para decisiones significativas se difiere hasta el 1 de enero de 2027.
Aplicación de la CPPA en 2025: la agencia llegó a acuerdos con American Honda (632 500 dólares), Tractor Supply Company (1.35 millones de dólares) y Todd Snyder (345 178 dólares), entre otros. La CPPA reportó cientos de investigaciones en curso según su informe anual de 2025.
Octubre de 2024: la DPC de Irlanda multó a LinkedIn con 310 millones de euros por tratamiento ilícito con fines de publicidad conductual. El total acumulado de multas del RGPD superó los 5800 millones de euros a comienzos de 2025.
Enero de 2025: la CPPA ajustó los montos de las multas de la CCPA por la inflación del índice de precios al consumidor. Se agregaron los datos neuronales a la definición de información personal sensible.
1 de enero de 2026: entran en vigor las leyes integrales de privacidad de Indiana, Kentucky y Rhode Island, con lo que el número total de estados de EE. UU. con leyes integrales de privacidad asciende a aproximadamente 20.
Preguntas frecuentes
¿La CCPA/CPRA se aplica a empresas fuera de California?
Sí. La CCPA/CPRA se aplica a cualquier empresa con fines de lucro que recopile información personal de residentes de California y cumpla al menos uno de los tres umbrales (ingresos superiores a 25 millones de dólares, datos de más de 100 000 consumidores al año, o el 50% o más de los ingresos provenientes de la venta o el intercambio de datos), independientemente de dónde esté ubicada la empresa. Una empresa sin presencia física en California, pero con clientes en California y un sitio web que cumpla los requisitos, puede quedar cubierta.
¿Puede una empresa estar sujeta tanto al RGPD como a la CCPA/CPRA?
Sí. Cualquier empresa que trate datos personales de personas de la UE/EEE y que recopile información personal de residentes de California que cumplan los umbrales de la CCPA debe cumplir con ambas leyes. Muchas empresas multinacionales construyen programas de privacidad unificados basados en los requisitos del RGPD, y luego añaden las obligaciones específicas de la CCPA/CPRA.
¿Qué ley tiene sanciones más estrictas?
El RGPD tiene sanciones máximas mucho más altas: 20 millones de euros o el 4% de los ingresos anuales globales, lo que resulte mayor. Las sanciones de la CCPA/CPRA se limitan a 7500 dólares por infracción intencional. Sin embargo, los litigios de acción colectiva bajo el derecho de acción privada de la CCPA pueden generar daños agregados sustanciales, y la activa labor de aplicación de la CPPA ha dado lugar a acuerdos de siete cifras.
¿El RGPD exige consentimiento previo para todo tratamiento de datos?
No. El consentimiento es una de las seis bases jurídicas previstas en el artículo 6 del RGPD. Las empresas también pueden basarse en la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el ejercicio de poderes públicos o el interés legítimo. Sin embargo, cuando se elige el consentimiento como base, este debe ser libre, específico, informado e inequívoco. Para los datos de categorías especiales, se requiere el consentimiento explícito, salvo que se aplique otra condición del artículo 9.
¿Qué es la norma de la CPPA sobre ADMT y cuándo entra en vigor?
La CPPA finalizó las normas sobre tecnología de toma de decisiones automatizadas (ADMT) el 22 de septiembre de 2025, con una fecha de entrada en vigor general del 1 de enero de 2026. Las empresas que utilicen ADMT para tomar decisiones significativas que afecten a los consumidores (como la elegibilidad laboral, la aprobación de créditos, la vivienda y las decisiones de atención médica) deben cumplir con los derechos de exclusión y acceso de los consumidores a partir del 1 de enero de 2027. Las empresas que utilicen ADMT para la segmentación publicitaria cuentan con un cronograma de cumplimiento independiente.
¿Cuál es la diferencia práctica más importante entre el cumplimiento del RGPD y de la CCPA/CPRA?
El modelo de consentimiento. El RGPD exige una base jurídica documentada antes de que comience el tratamiento de datos, lo que a menudo implica obtener el consentimiento previo desde el inicio. La CCPA/CPRA permite la recopilación de datos por defecto, pero exige que las empresas atiendan las solicitudes de exclusión, publiquen un enlace de "No Vender ni Compartir Mi Información Personal" y (conforme a las normas de 2025) ofrezcan avisos de exclusión y acceso relacionados con la ADMT. Esta diferencia fundamental condiciona el diseño de los sitios web, los avisos de cookies, los avisos de privacidad y la gobernanza interna de datos.
¿El cumplimiento del RGPD satisface los requisitos de la CCPA/CPRA?
En su mayor parte, pero no por completo. Un programa que cumple con el RGPD satisface la mayoría de los requisitos básicos de la CCPA/CPRA, ya que el RGPD es, en general, el marco más estricto. Sin embargo, varias obligaciones específicas de la CCPA/CPRA no tienen equivalente en el RGPD: el enlace "No Vender ni Compartir", las divulgaciones sobre incentivos financieros, el derecho de exclusión de la ADMT, los requisitos de evaluación de riesgo y auditoría de ciberseguridad conforme a las normas de 2025, y el lenguaje contractual específico de la CCPA para los proveedores de servicios.
Fuentes y referencias
- RGPD - Texto Completo del Reglamento (UE) 2016/679 (EUR-Lex)(eur-lex.europa.eu).gov
- Artículo 3 del RGPD - Ámbito de Aplicación Territorial(gdpr-info.eu)
- Artículo 6 del RGPD - Licitud del Tratamiento(gdpr-info.eu)
- Artículo 9 del RGPD - Categorías Especiales de Datos Personales(gdpr-info.eu)
- Artículo 17 del RGPD - Derecho de Supresión(gdpr-info.eu)
- Artículo 22 del RGPD - Decisiones Individuales Automatizadas(gdpr-info.eu)
- Artículo 37 del RGPD - Designación del Delegado de Protección de Datos(gdpr-info.eu)
- Artículo 83 del RGPD - Condiciones Generales para la Imposición de Multas(gdpr-info.eu)
- Comisión Europea - Protección de Datos en la UE(commission.europa.eu).gov
- Comité Europeo de Protección de Datos - Directrices(edpb.europa.eu).gov
- Ley de Privacidad del Consumidor de California - Texto Completo (Código Civil de California, sección 1798.100 y siguientes)(leginfo.legislature.ca.gov).gov
- Código Civil de California, Sección 1798.150 - Derecho de Acción Privada(leginfo.legislature.ca.gov).gov
- Fiscal General de California - Información sobre la CCPA/CPRA(oag.ca.gov).gov
- CPPA - Actualizaciones de la CCPA, Auditorías de Ciberseguridad, Evaluaciones de Riesgo, Normas sobre ADMT(cppa.ca.gov).gov
- Comunicado de la CPPA: California Finaliza Normas para Fortalecer la Privacidad de los Consumidores (22 de septiembre de 2025)(cppa.ca.gov).gov
- CPPA: Honda Llega a un Acuerdo por Infracciones de Privacidad - Multa de 632 500 Dólares(cppa.ca.gov).gov
- CPPA Ordena a Todd Snyder Pagar una Multa de 345 178 Dólares y Reformular sus Prácticas de Privacidad(cppa.ca.gov).gov