Iubenda logo
Genera tus documentos

La solución perfecta para adaptar tu empresa, app y sitio web a las leyes de privacidad de EE. UU.

Las leyes estatales imponen nuevos requisitos a las empresas y, en consecuencia, también nuevas obligaciones jurídicas y técnicas. Por ello, cumplir con la normativa puede resultar complicado. Nuestras soluciones eliminan las conjeturas sobre el cumplimiento de la normativa, ya que se encargan de las tareas técnicas y jurídicas más pesadas para que tú puedas concentrarte en hacer crecer tu negocio

Obtén más información sobre los requisitos legales aquí

Genera un aviso conforme a la CCPA

¿Qué leyes me afectan?

En general, las leyes de privacidad de los estados de EE. UU., como la CPRA (anteriormente la CCPA) y la VCDPA, te pueden afectar si te diriges a usuarios establecidos en dichos estados y cumples simultáneamente alguno de los requisitos que se indican a continuación.

CPRA

La Ley de Derechos de Privacidad de California (CPRA) se basa en las disposiciones existentes de la CCPA, enriquece los derechos de los consumidores y añade nuevos requisitos para las empresas que tratan datos personales de los residentes en California.
Se aplica a las personas jurídicas que operan en California con ánimo de lucro, que tratan datos personales de los consumidores y que cumplen uno o varios de los siguientes requisitos:

  • ingresos brutos anuales superiores a 25 millones de dólares;
  • compran, venden o comparten anualmente la información personal de al menos 100.000 consumidores u hogares; u
  • obtienen al menos el 50% de sus ingresos anuales de vender o compartir* información personal de los consumidores.

* Puede incluir integraciones de terceros en tu sitio web.

¿No estás seguro si la CPRA te afecta?Haz este quiz de 1 minuto

VCDPA

La Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) se firmó en marzo de 2021 y, de este modo, Virginia se convirtió en el segundo estado de Estados Unidos en promulgar una ley integral de privacidad de datos después de California. La VCDPA entra en vigor el 1 de enero de 2023.

Se aplica a las personas que hacen negocios en Virginia o proporcionan productos o servicios dirigidos a los residentes de Virginia y que:

  • durante un año natural, controlen o traten datos personales de al menos 100.000 consumidores; o
  • controlen o traten datos personales de al menos 25.000 consumidores y obtengan más del 50 por ciento de los ingresos brutos de la venta de dichos datos.

CPA

La Ley de Privacidad de Colorado (CPA) está diseñada para proteger los derechos de privacidad de los residentes de Colorado regulando la forma en que las empresas recogen, tratan y almacenan los datos personales.

Se aplica a los responsables del tratamiento que: realizan actividades comerciales en Colorado o se dirigen intencionadamente a los residentes de Colorado con productos o servicios comerciales; y

  • controlen o traten los datos personales de 100.000 consumidores o más durante un año natural; u
  • obtengan ingresos de la venta de datos personales y traten o controlen los datos personales de 25.000 consumidores o más.

CTDPA

La Ley de Privacidad de Datos de Connecticut (CTDPA) exige que proporciones a los consumidores avisos de privacidad claros y de magnitud considerable que incluyan información sobre el tratamiento de datos personales, las finalidades, los derechos de los consumidores y el intercambio con terceros, entre otros requisitos.

Se aplica a las personas que realizan actividades comerciales en Connecticut o fabrican productos o prestan servicios dirigidos a los residentes de Connecticut y que durante el año natural anterior:

  1. controlaron o trataron datos personales de al menos 100.000 consumidores (salvo los datos personales controlados o tratados para completar exclusivamente una transacción de pago); o
  2. controlaron o trataron datos personales de al menos 25.000 consumidores y obtuvieron más del 25% de sus ingresos brutos de la venta de datos personales.

UCPA

La Ley de Privacidad del Consumidor de Utah (UCPA) es una nueva ley de privacidad del consumidor en Utah que entrará en vigor el 31 de diciembre de 2023. La UCPA adopta un enfoque favorable para las empresas en lo que respecta a la privacidad de los consumidores. La UCPA pretende proporcionar una norma viable para las empresas y, al mismo tiempo, proteger los derechos garantizados de los consumidores de Utah.

Se aplica a cualquier organización que:

  1. realiza actividades comerciales en Utah; o
  2. fabrica un producto o presta un servicio dirigido a consumidores residentes en Utah;
  3. tiene unos ingresos anuales de 25.000.000 de dólares o más; y
  4. cumple uno o más de los siguientes umbrales:
  5. durante un año natural, controla o trata datos personales de 100.000 consumidores o más; u
  6. obtiene más del 50% de los ingresos brutos de la venta de datos personales y controla o trata datos personales de 25.000 consumidores o más.

Desarrollo cronológico de las leyes estatales de Estados Unidos

¿Qué hay que hacer para cumplir con las leyes de EE. UU.?

Como las normativas difieren ligeramente de un estado a otro, estar al día de cada situación puede ser un trabajo agotador. Las soluciones inteligentes de iubenda aplican las normas más sólidas para ayudarte a cumplirlas con el mínimo esfuerzo. Solo tienes que seleccionar Leyes estatales de EE. UU. en tu generador para cumplir con las principales normativas de todo el país.

CCPA world

Es obligatorio tener una política de privacidad detallada

Requisito de EE. UU.

Las empresas deben incluir información específica en sus políticas de privacidad, incluyendo descripciones de los derechos del consumidor, los socios del tratamiento, sus finalidades, las fuentes y mucho más. Esta información debe ser completa, estar actualizada y ser fácilmente accesible en todo el sitio web/app.

Las políticas no son válidas si les falta la información adecuada

Para cumplir con la normativa, tu política debe contener, como mínimo:

Invalid document icon
  • Incluye las categorías de información personal que tu empresa ha vendido o compartido con terceros en los últimos 12 meses, una lista de terceros relevantes y la finalidad de tu empresa. También tienes que indicar si no has vendido ni compartido la información personal de los usuarios en los últimos 12 meses.
  • Añade una declaración sobre si tu empresa vende o comparte, a sabiendas de que lo hace, la información personal de los usuarios menores de 16 años.
  • Incluye las categorías de información personal que tu empresa ha revelado (con fines empresariales) a terceros en los últimos 12 meses, una lista de los terceros pertinentes y la finalidad de tu empresa. También debes indicar si no has revelado información personal de los consumidores en los últimos 12 meses.
  • Indica si tu empresa utiliza o divulga información personal sensible para finalidades distintas de las especificadas en la ley.
  • Proporciona enlaces a formularios o portales de solicitud en línea para que tus usuarios puedan realizar solicitudes relativas a la recogida, divulgación o venta de su información personal.

Aquí tienes la lista completa de información que debes incluir en tu política de privacidad conforme a los requisitos de la CPRA.

  • Incluye las categorías de datos personales que trata tu organización.
  • Incluye la finalidad de tu organización para el tratamiento de los datos personales.
  • Informa a tus usuarios de cómo pueden ejercer sus derechos (ver más abajo), por ejemplo cómo pueden recurrir una decisión sobre sus solicitudes. Debes proporcionar uno o varios métodos para que los usuarios envíen una solicitud.
  • Incluye las categorías de datos personales que tu organización comparte con terceros, en su caso.
  • Incluye las categorías de terceros, en su caso, con los que tu organización comparte datos personales.

En concreto, en la CPA se establece la obligación de proporcionar un aviso de privacidad que incluya la siguiente información:

  1. Categorías de datos personales recogidos o tratados.
  2. Finalidades para las que se tratan las categorías de datos personales.
  3. Cómo y dónde pueden ejercer sus derechos los consumidores, incluida la información de contacto y cómo recurrir la actuación de un responsable del tratamiento en relación con la solicitud de un consumidor.
  4. Categorías de datos personales que se comparten con terceros, en su caso.
  5. Categorías de terceros con los que se comparten los datos personales, en su caso.

Más información aquí →

La nueva ley de privacidad de Connecticut exige que proporciones a los consumidores un aviso de privacidad claro y de magnitud considerable al que pueda accederse adecuadamente. Aquí tienes una lista de comprobación de lo que debes incluir en tu política de privacidad para cumplir la nueva ley:

  • Categorías de datos personales: Tu política de privacidad debe incluir una lista de las categorías de datos personales que tratas.
  • Finalidades del tratamiento: Tu política de privacidad debe indicar claramente las finalidades del tratamiento de datos personales. Esto incluye cualquier motivo por el que recojas y utilices datos personales, como el cumplimiento de un contrato o la prestación de un servicio.
  • Derechos de los consumidores: Tu política de privacidad debe explicar cómo pueden ejercer los consumidores sus derechos conforme a la ley. Es decir, cómo pueden los consumidores acceder, corregir, eliminar o restringir el tratamiento de sus datos personales. También debes incluir información sobre el proceso que deben seguir los consumidores para recurrir una decisión relacionada con su solicitud.
  • Compartir con terceros: Si compartes datos personales con terceros, tu política de privacidad debe especificar las categorías de datos personales que compartes.
  • Categorías de terceros: Tu política de privacidad también debe especificar las categorías de terceros con los que compartes datos personales.
  • Información de contacto: Tu política de privacidad debe proporcionar una dirección de correo electrónico activa u otro mecanismo en línea que los consumidores puedan utilizar para ponerse en contacto contigo si tienen preguntas o dudas sobre sus datos personales.
  • Venta o publicidad dirigida: Si tratas datos personales con fines de venta o publicidad dirigida, tu política de privacidad debe indicarlo de forma clara y visible. También debes proporcionar información sobre cómo pueden los consumidores ejercer su derecho de autoexclusión de dicho tratamiento.

Más información aquí →

Si estás sujeto a la Ley de Privacidad de los Consumidores de Utah (UCPA), debes proporcionar una política de privacidad que sea razonablemente accesible y clara para los consumidores. Tu política de privacidad debe incluir lo siguiente:

  1. Categorías de los datos personales tratados: Identifica los tipos de datos personales que tu organización recoge y trata, como nombres, direcciones de correo electrónico e información de pago.
  2. Finalidades del tratamiento de datos personales: Describe las razones por las que tu organización recoge y trata datos personales, por ejemplo, para atender los pedidos, prestar asistencia al cliente o mejorar productos o servicios.
  3. Derechos de los consumidores: Explica cómo pueden los consumidores ejercer sus derechos, como el derecho a acceder a sus datos personales y a eliminarlos. Ten en cuenta que en la UCPA no se concede a los consumidores el derecho a solicitar la rectificación de datos personales inexactos.
  4. Compartir datos personales: Indica las categorías de datos personales que tu organización comparte con terceros, en su caso. Por ejemplo, puedes compartir información de pago con un procesador de pagos o direcciones postales con una empresa de envíos.
  5. Terceros: Identifica las categorías de terceros con los que tu organización comparte datos personales, en su caso. Puede tratarse de proveedores de servicios o socios de marketing.

Más información aquí →

SOLUCIÓN
Privacy and Cookie Policy icon

Generador de Políticas de Privacidad y Cookies

Crea tu política de privacidad y cookies en cuestión de minutos.

Se puede personalizar con más de 2000 cláusulas, disponible en 14 idiomas y se actualiza automáticamente si cambia la ley. Nuestro generador te permite crear un documento legal en cuestión de minutos e integrarlo sin problemas en tu web o app.
Ver más

Muestra un aviso y permite la autoexclusión

Desktop cookie banner icon

De conformidad con la CPRA (modificación de la CCPA), debes mostrar un aviso antes o durante el acto de recopilación en el que se informe a los consumidores sobre qué categorías de datos personales se recogen y con qué finalidad. Los consumidores también deben tener la posibilidad de autoexcluirse de este tratamiento. Por tanto, como empresa, tienes la obligación de informar a los consumidores de esta opción y de proporcionarles medios para autoexcluirse.

En particular, debes:

  • Detectar si un consumidor está o no establecido en California y si ha visitado o no tu sitio web antes.
  • Facilitar las solicitudes de autoexclusión mediante un enlace para expresar el deseo de que no se vendan sus datos personales.
  • Dar instrucciones a los terceros pertinentes para que dejen de tratar los datos del consumidor cuando se reciba una solicitud de autoexclusión.
  • Entregar a los consumidores en la primera visita a tu sitio web una nota informativa en la que se incluyan las declaraciones que resulten necesarias.

Te informamos de que, en virtud de la VCDPA, no hay ninguna indicación de que se requieran enlaces de autoexclusión que permitan a los usuarios autoexcluirse del tratamiento de datos personales para determinadas finalidades .

Las disposiciones de la VCDPA, de hecho, tratan los derechos de autoexclusión de los usuarios de la misma manera que cualquier otro derecho de los usuarios concedido en virtud de la VCDPA.

Tu empresa necesita cumplir las solicitudes de los usuarios de la siguiente manera:

  • Debes atender la solicitud en un plazo de 45 días. El plazo de respuesta puede ampliarse una única vez con 45 días adicionales cuando sea razonablemente necesario, siempre que informes al usuario de cualquier ampliación del plazo inicial de respuesta de 45 días, así como del motivo de la ampliación.
  • Si te niegas a tomar medidas en relación con la solicitud de los usuarios, debes informar al usuario al respecto en un plazo de 45 días, indicando la justificación pertinente e instrucciones sobre cómo recurrir la decisión.
  • Si no puedes autenticar una solicitud con medidas comercialmente razonables, no tienes la obligación de responder a la solicitud y puedes pedir la información adicional que puedas necesitar para autenticar al usuario y su solicitud.

Te informamos de que, según la CPA, no hay indicaciones de que se requieran enlaces de autoexclusión que permitan a los consumidores autoexcluirse del tratamiento de datos personales para determinadas finalidades. Sin embargo, si tratas datos personales con fines de publicidad dirigida o venta, debes proporcionar un método claro y visible para que los consumidores ejerzan su derecho de autoexclusión.

Este método debe estar descrito de forma clara y visible en el aviso de privacidad y permitir su acceso desde fuera del aviso de privacidad.

También debes permitir a los consumidores autoexcluirse del tratamiento de sus datos personales para publicidad dirigida o venta mediante una señal de preferencia de autoexclusión enviada a través de una plataforma, tecnología o mecanismo, con el consentimiento del consumidor.
Este mecanismo debe:

  • No perjudicar injustamente a otros responsable del tratamiento.
  • Exigir una elección afirmativa e inequívoca por parte del consumidor.
  • Ser fácil de usar.
  • Ser lo más coherente posible con otros mecanismos similares exigidos por las leyes o reglamentos federales o estatales.
  • Permitir al responsable del tratamiento determinar si el consumidor es residente en Connecticut y ha presentado una solicitud legítima de autoexclusión.

Según la Ley de Privacidad de los Consumidores de Utah (UCPA), los consumidores tienen derecho de autoexclusión del tratamiento de sus datos personales con fines de publicidad dirigida o de venta de sus datos personales a terceros. Sin embargo, la UCPA no proporciona directrices específicas sobre cómo debes permitir que los consumidores ejerzan este derecho.

Para cumplir la UCPA, debes:

  • Proporcionar a los consumidores un medio para presentar solicitudes de autoexclusión.
  • Especificar el derecho que pretenden ejercer.

Es importante señalar que, según la UCPA, los enlaces de autoexclusión solo se tienen en cuenta en relación con el derecho de los consumidores a autoexcluirse del tratamiento de datos sensibles.

SOLUCIÓN
Cookie solution icon

Privacy Controls and Cookie Solution para la CCPA

Notifica a los consumidores y gestiona la autoexclusión. Con el Marco de Cumplimiento de la CCPA de IAB integrado.

Nuestra solución te permite:

Display banner icon

Muestra un aviso de recogida de datos para informar a los usuarios

Profiling cookie icon

Mostrar el enlace "No vendan mi información personal" (DNSMPI) en el aviso y en cualquier otra parte de tu web/app, facilitando así el derecho de autoexclusión de la venta

Detect location icon

Detectar la ubicación y aplicar automáticamente los estándares adecuados, incluso cuando hay más de uno. Nuestra solución te permite aplicar a esos mismos usuarios tanto los estándares del RGPD como los de la CPRA (anteriormente CCPA) cuando sea necesario

Opt out icon

Registrar y pasar automáticamente las preferencias del usuario (incluido el derecho de autoexclusión) a los proveedores de publicidad que respaldan el Marco de cumplimiento de la CCPA de IAB (como Google y AdRoll)

Opt out preferences icon

Privacy Controls and Cookie Solution de iubenda admite la preferencia de autoexclusión Señales como el GPC y la GPP tal y como lo exige la CPRA

Ver más
Pointed world icon

Mantén un registro actualizado para la autoexclusión manual

Requisito de EE. UU.

Como se ha mencionado anteriormente, de forma similar a la CPRA (anteriormente CCPA), la mayoría de estas leyes estatales otorgan a los usuarios el derecho de autoexclusión. En los casos donde el tratamiento de los datos sea más o menos manual (es decir, no esté relacionado con los scripts en el sitio web, como es el caso del Email Marketing), es posible que las empresas deban implementar de forma manual la solicitud de autoexclusión.

Además, leyes como la CPRA obligan a no ponerse en contacto con los usuarios durante un mínimo de 12 meses después de la solicitud. Por esta razón, es prudente mantener un registro de los detalles de autoexclusión como el usuario, la fecha y los subcontratistas a los que se debe notificar en caso de nuevas solicitudes.

SOLUCIÓN
Consent Solution icon

Consent Database

Nuestra Consent Database se integra con tus formularios web para que puedas pasar automáticamente los detalles de las preferencias del consumidor, como la autoexclusión, mediante una API a un dashboard intuitivo. Puedes registrar todos los detalles relevantes, incluyendo la fecha y hora de la autoexclusión, la versión de la política de privacidad disponible para el usuario en el momento de la solicitud, el ID del usuario, el email e incluso la dirección IP para ayudar en la verificación de dicha solicitud.
Ver más
Internal Privacy Management icon

Registro de las actividades de tratamiento

Nuestro Registro de las actividades de tratamiento te permite registrar fielmente los detalles necesarios para cumplir con precisión con las solicitudes de los consumidores.

La solución registra:

  • detalles de seguridad como qué miembros de tu organización tienen acceso a los datos de los usuarios;
  • cualquier subcontratista que trata datos en tu nombre;
  • la finalidad del tratamiento de los datos añadidos manualmente;
  • los métodos de recopilación de datos y mucho más.
Ver más

Sanciones y multas por incumplimiento

California icon

Sanción civil de
2.500 $ por infracción o;
7.500 $ por infracción si es intencionada o implica información personal de un menor.

Virginia icon

Sanción civil de hasta 7.500 $ por cada infracción.

Pese a que estas multas no parecen muy elevadas en comparación con otras leyes de privacidad, ten en cuenta que estas sanciones se imponen por cada violación individual y por consumidor. Para una empresa con tan solo unos pocos clientes, estas multas pueden suponer una suma considerable.

En general, ¿cuáles son los principales requisitos para los propietarios de sitios web y apps?

Display banner icon

Intercambio y elaboración de perfiles

Si tienes usuarios de EE. UU., es posible que debas cumplir con leyes como la CPRA y la VCDPA a la hora de elaborar perfiles o compartir información de los usuarios. Esto significa que debes informar a los usuarios de que estás tratando sus datos de esta manera y ofrecerles la posibilidad de dejar de compartirlos (autoexclusión).

Store consent proof icon

Registro de consentimientos

Algunas regiones, como Europa y Brasil, te exigen que conserves una prueba del consentimiento (también conocida como registro de consentimientos). En muchos casos, sin este registro, los consentimientos recopilados pueden no considerarse válidos, lo que te colocaría en una situación de infracción de la ley.

Cross-region icon

Requisitos interregionales

Si tienes usuarios de varias regiones (por ejemplo, Europa y EE. UU.), es posible que tengas que cumplir simultáneamente con las leyes de varias regiones, como la [CPRA] de California o el RGPD de Europa. Esto implica disponer de la información específica de cada región en tus documentos de privacidad y mucho más.

Con la confianza de 130.000 clientes en más de 100 países

Badi logo
Kappa logo
Armani hotel Milano logo
Peuterey logo
Mitsubishi logo
Save the Children logo
Lamborghini logo
Ryanair logo
Last Minute logo
MaxMara logo
Criteo logo
Etro logo
Honda logo
Sony Music logo
Siemens logo
Treedom logo
WWF logo
Unicef logo
Mailboxes logo
Virgin logo
Victorias Secret logo
Capterra rating

"Si, al igual que yo, formas parte de un smart team y odias tener que actualizar tu política de privacidad cada vez que añades código a tu web, entonces iubenda es perfecta para ti. Es increíblemente asequible y muy fácil de usar."

Genera un aviso conforme a la CCPA

PRUÉBALO ANTES DE COMPRARLO o UTILIZA LA VERSIÓN GRATUITA

3013138 documentos generados hasta ahora

Preguntas frecuentes

¿Cómo prepararse para la CPRA?

La CPRA se convierte en ley el 1 de enero de 2023 y entrará en vigor a partir del 1 de julio de 2023.

En iubenda, siempre estamos atentos a las últimas actualizaciones y nos aseguramos de que todos nuestros documentos y productos se ajusten a tiempo para ayudarte a cumplir con la normativa.

Si ya cuentas con los procedimientos de la CCPA, puede ser una buena idea empezar a revisar tus procesos y tomar nota de algunas cosas:

Más información
sobre la CCPA 2.0 y cómo te afecta

Qué debes hacer para prepararte para la VCDPA

Estados Unidos suma otra normativa de privacidad de datos con la Ley de Protección de Datos de Virginia (VCDPA).

La VCDPA entra en vigor el 1 de enero de 2023.

Si tu organización entra en el ámbito de aplicación de la VCDPA, debes empezar a buscar soluciones de conformidad que sean de confianza y estén redactadas por abogados.

Así que, si aún no tienes una, empieza hoy mismo a establecer todo lo necesario, ¡y te informaremos cuando las cláusulas estén disponibles!

Más información sobre la Ley de Protección de Datos de los Consumidores (VCDPA)

Todos nuestros productos son conformes al nivel AAA de las WCAG

Level AAA conformance, W3C WAI Web Content Accessibility Guidelines 2.1

Una solución de 360° para que tus sitios web y apps cumplan con la ley

Conformidad legal para sitios web y apps

Privacy and Cookie Policy icon

Generador de Políticas de Privacidad y Cookies

Crea tu política de privacidad y cookies en cuestión de minutos.

Se puede personalizar con más de 2000 cláusulas, disponible en 14 idiomas y se actualiza automáticamente si cambia la ley. Nuestro generador te permite crear un documento legal en cuestión de minutos e integrarlo sin problemas en tu web o app.

Ver más
Cookie Solution icon

Privacy Controls and Cookie Solution

Gestiona las preferencias de consentimiento según lo requerido por la directiva ePrivacy, el RGPD, la CPRA (modificación de la CCPA) y la LGPD. Nuestra solución, integrada con el TCF de IAB y el marco de cumplimiento de la CCPA

, te permite mostrar un banner de cookies/de consentimiento completamente personalizable, obtener el consentimiento para el uso de cookies, configurar el bloqueo previo (incluido el autobloqueo), establecer las preferencias publicitarias y mucho más.

Ver más

Conformidad legal para tu organización

Consent Solution icon

Consent Database

Adapta tus formularios al RGPD, la CCPA y la LGPD: obtén el consentimiento y registra las decisiones de participación y las autoexclusiones.

Nuestra solución se integra perfectamente con tus formularios de obtención del consentimiento, se sincroniza con tus documentos legales e incluye un dashboard intuitivo que te permite revisar el registro de consentimientos de tus actividades en cualquier momento.

Ver más
Internal Privacy Management icon

Registro de las actividades de tratamiento

Registra todas las actividades de tratamiento de datos que tienen lugar en tu organización.

Para cumplir con la legislación en materia de privacidad, y particularmente con el RGPD, las empresas deben mantener un registro de cómo almacenan y utilizan los datos de sus usuarios. Nuestra solución te permite documentar fácilmente todas las actividades de tratamiento de datos que se llevan a cabo en tu organización.

Ver más