Resumen de las legislaciones de privacidad de Estados Unidos
Descargo de responsabilidad: ten en cuenta que esta tabla no ofrece una guía exhaustiva sobre cada una de las legislaciones y su aplicación. Para obtener más información, te recomendamos consultar el enlace a los textos oficiales de las legislaciones al final del artículo.
El objetivo de esta tabla es resumir las legislaciones de privacidad de varios estados de Estados Unidos que se han adoptado recientemente o que van a promulgarse en un futuro próximo.
La fecha de entrada en vigor de los proyectos de ley que todavía no se han aprobado y el contenido de los mismos pueden sufrir cambios.
En la tabla se citan con denominaciones estándar los derechos otorgados a los usuarios en cada caso. Aunque dichas denominaciones pueden coincidir, puede variar el nombre exacto que se utiliza en cada legislación, así como el contenido y la información relativa al ejercicio de estos derechos.
Dado que la mayoría de las legislaciones de privacidad estatales de Estados Unidos se basan en gran medida en la Ley de Privacidad de los Consumidores de California (CCPA), la tabla incluye una columna en la que se indican los elementos específicos de cada legislación que guardan parecido con la CCPA.
Legislaciones ya en vigor (resaltadas en verde)
Legislaciones aprobadas pero no en vigor (resaltadas en amarillo)
Actualmente no hay una legislación de privacidad exhaustiva disponible (resaltadas en rojo)
Privacidad en Estados Unidos: tabla comparativa
Preguntas
Nevada
California
Colorado
Virginia
Connecticut
Utah
Maryland
Iowa
Illinois
Minnesota
Alabama
Oklahoma
Washington
Nueva York
Massachussetts
Arizona
Kentucky
Maine
Fecha de entrada en vigor
2017 Modificaciones sucesivas en 2019 y 2021. La última versión entró en vigor el: 1 de octubre de 2021
Ley de Derechos de Privacidad de California (California Privacy Rights Act – CPRA)
1 de enero de 2023CPRA expands on a few key elements of the CCPA and can be thought of as a more comprehensive iteration of the law.
Ley de Privacidad de Colorado (Colorado Privacy Act)
1 de julio de 2023
Ley de Protección de Datos de los Consumidores de Virginia (Virginia Consumer Data Protection Act – VCDPA)
1 de enero de 2023
Ley sobre la Privacidad de los Datos Personales y la Vigilancia en Línea (An Act Concerning Personal Data Privacy and Online Monitoring)
1 de julio de 2023
Ley de Privacidad de los Consumidores de Utah (Utah Consumer Privacy Act)
31 de diciembre de 2023
Ley sobre la Privacidad de la Información Personal Online de los Consumidores de Maryland (Maryland Online Consumer Personal Information Privacy Act)
Actualmente no hay una legislación de privacidad exhaustiva disponible
Un proyecto de ley para una ley relativa a la protección de los datos de los consumidores
Actualmente no hay una legislación de privacidad exhaustiva disponible
Ley de Privacidad de los Consumidores (Consumer Privacy Act)
Actualmente no hay una legislación de privacidad exhaustiva disponible
Ley de Privacidad de los Datos de los Consumidores (Consumer Data Privacy Act)
Actualmente no hay una legislación de privacidad exhaustiva disponible
Ley de Privacidad de los Consumidores (Consumer Privacy Act)
Actualmente no hay una legislación de privacidad exhaustiva disponible
Ley de Privacidad de los Datos Informáticos de Oklahoma (Oklahoma Computer Data Privacy Act)
Actualmente no hay una legislación de privacidad exhaustiva disponible
Ley de Privacidad de las Personas (People’s Privacy Act)
Actualmente no hay una legislación de privacidad exhaustiva disponible
Ley de Privacidad (Privacy Act)
Actualmente no hay una legislación de privacidad exhaustiva disponible
Ley de Privacidad y Seguridad de la Información de Massachusetts (Massachusetts Information Privacy and Security Act)
Actualmente no hay una legislación de privacidad exhaustiva disponible
Actualmente no hay una legislación de privacidad exhaustiva disponible
Actualmente no hay una legislación de privacidad exhaustiva disponible
Actualmente no hay una legislación de privacidad exhaustiva disponible
¿Esto se aplica en mi caso?
Se aplica si perteneces a la categoría de recopilador de datos (data collector), como puede ser un órgano gubernamental, un centro de enseñanza superior, una sociedad mercantil, una entidad financiera o un operador comercial o cualquier otro tipo de entidad o asociación mercantiles que, con alguna finalidad, gestiona, recopila, difunde o trata de alguna otra forma información personal privada que ha recopilado mediante medios automatizados o de cualquier otra forma.
También se incluyen los operadores e intermediarios de datos (data brokers).
La ley te resulta de aplicación si eres una entidad jurídica que lleva a cabo actividades comerciales en California con ánimo de lucro, que recopila la información personal de los consumidores oen cuyo nombre se recopila dicha información y que, bien por sí sola o conjuntamente con otras entidades, determina la finalidad y los medios del tratamiento de la información personal de los consumidores y cumple una o varias de las siguientes condiciones:
tiene unos ingresos brutos anuales que superan los 25 millones de dólares;
compra, vende o intercambia anualmente información personal de al menos 100.000 consumidores o unidades familiares; u
obtiene al menos el 50% de sus ingresos anuales de la venta o
el intercambio de la información personal de los consumidores.
La ley te resulta de aplicación si eresuna entidad jurídica que lleva a cabo actividades comerciales en Coloradoofabrica productos comerciales o presta servicios que se dirigen intencionadamente a los residentes de Colorado y:
controla o trata los datos personales de al menos 100.000 consumidores al año; o
controla o trata los datos personales de al menos 25.000 consumidores y obtiene ingresos (o recibe un descuento en el precio de bienes o servicios) de la venta de los datos personales.
La ley te resulta de aplicación si eres una persona que lleva a cabo actividades comerciales en Virginiaose dirige a los residentes de Virginia y:
controlas o tratas los datos personales de al menos 100.000 consumidores al año; o
controlas o tratas los datos personales de al menos 25.000 consumidores y más del 50% de tus ingresos brutos provienen de la venta de datos personales.
La ley te resulta de aplicación si eres una empresa (con sede en Connecticut o no) que se dirige a los residentes de Connecticut y que:
controla o trata datos personales de al menos 100.000 consumidores durante un año natural; o
controla o trata datos personales de al menos 25.000 consumidores y más del 50% de sus ingresos brutos provienen de la venta de datos personales.
La ley resulta de aplicación alos responsables o encargados del tratamiento que llevan a cabo actividades comerciales en Utah o que fabrican un producto o prestan un servicio dirigido a los residentes de Utah, que tienen unos ingresos anuales de al menos 25 millones de dólares y que cumplen una o varias de las siguientes condiciones:
controlan o tratan datos personales de al menos 100.000 consumidores durante un año natural; o
obtienen al menos el 50% de sus ingresos anuales de la venta de datos personales o controlan o tratan datos personales de al menos 25.000 consumidores.
¿A quién protege?
Residentes de Nevada
Consumidores. Personas físicas que residen en el estado de California.
Consumidores. Una persona residente en Colorado que actúa únicamente como persona física o como unidad familiar.
Consumidores. Personas físicas que residen en el estado de Virginia.
Consumidores. Una persona física que reside en Connecticut.
Consumidor. Una persona residente en el estado que actúa como persona física o como unidad familiar.
¿Qué derechos otorga la ley a los usuarios?
Derecho de autoexclusión de la venta de información personal.
Derecho a solicitar información y derecho de acceso
Derecho de supresión de la información personal
Derecho de rectificación de la información personal inexacta
Derecho de autoexclusión de la venta o del intercambio de información personal
Derecho de limitar el uso/la comunicación de información personal sensible
Derecho de no discriminación por el ejercicio de los derechos de privacidad de los consumidores
Derecho de acceso y derecho de portabilidad de los datos
Derecho de rectificación
Derecho de supresión
Derecho de autoexclusión del tratamiento que se realiza con la finalidad de ofrecer publicidad personalizada, de elaborar perfiles o de vender datos personales
Derecho a presentar un recurso
Derecho de acceso y derecho de portabilidad de los datos
Derecho de supresión
Derecho de rectificación
Derecho de autoexclusión del tratamiento que se realiza con la finalidad de ofrecer publicidad personalizada, de elaborar perfiles o de vender datos personales
Derecho de acceso y derecho de portabilidad de los datos
Derecho de rectificación
Derecho de supresión
Derecho de autoexclusión del tratamiento que se realiza con la finalidad de ofrecer publicidad personalizada, de elaborar perfiles o de vender datos personales
Derecho a presentar un recurso
Derecho de acceso
Derecho de rectificación
Derecho de supresión
Derecho de portabilidad de los datos
Derecho de autoexclusión del tratamiento de los datos personales del consumidor que se realiza con la finalidad de:
ofrecer publicidad personalizada;
vender datos personales.
¿Tengo que proporcionar un aviso de privacidad?
SÍ
SÍ
SÍ
SÍ
SÍ
SÍ
¿Están regulados los rastreadores (por ejemplo, las cookies)?
NO
NO
NO
NO
NO
NO
¿Tengo que respetar las señales de preferencia de autoexclusión (opt-out preference signals) de los consumidores? (por ejemplo, Global Privacy Control [GPC])
NO
SÍ
SÍ
NO
SÍ
NO
¿Tengo que permitir a los consumidores la posibilidad de autoexcluirse del tratamiento de datos personales con respecto a determinadas finalidades?
SÍ
SÍ
SÍ
SÍ
SÍ
SÍ
¿Debo obtener el consentimiento previo de los consumidores (opt-in) antes de tratar datos sensibles?
NO
NO
SÍ
SÍ
SÍ
NO
¿Qué consecuencias conlleva el incumplimiento de la ley?
Sanción administrativa por el incumplimiento o medidas cautelares. Sanciones administrativas de hasta 5.000 dólares por incumplimiento.
Sanción administrativa de 2.500 dólares por incumplimiento o de 7.500 dólares si el incumplimiento es deliberado o afecta a la información personal de un menor.
Sanción administrativa de un máximo de 20.000 dólares por incumplimiento.
Sanción administrativa de hasta 7.500 dólares por cada incumplimiento.
Sanción administrativa de un máximo de 5.000 dólares por cada incumplimiento deliberado, más los gastos en los que incurra el Fiscal General durante la investigación y preparación del proceso, incluidos sus honorarios.
Al iniciar una acción, el fiscal general puede recuperar: los daños reales que ha sufrido el consumidor; y (ii) una cantidad máxima de 7.500 dólares por cada incumplimiento.