TermsBox
PreciosBlog
Iniciar sesiónEmpezar
PreciosBlogIniciar sesión
Empezar
  1. Home
  2. Blog
  3. ¿Qué es la CCPA? La ley de privacidad de California explicada
CCPA

¿Qué es la CCPA? La ley de privacidad de California explicada

Descubra qué significa la CCPA para su negocio. Guía completa que cubre los requisitos de la CCPA, los derechos del consumidor, las actualizaciones de la CPRA y cómo crear una política de privacidad conforme.

TermsBox Team|January 16, 202515 min read

Si dirige un negocio que atiende a residentes de California, la California Consumer Privacy Act (CCPA) podría aplicarse a usted. Esta ley de privacidad histórica ha transformado la forma en que las empresas manejan los datos personales en los Estados Unidos, y comprenderla es fundamental para el cumplimiento.

En esta guía, explicaremos todo lo que necesita saber sobre la CCPA en términos claros y prácticos: a quién se aplica, qué derechos otorga a los consumidores y cómo puede garantizar el cumplimiento.

¿Qué es la CCPA?

La California Consumer Privacy Act (CCPA) es una ley estatal de privacidad de datos que otorga a los residentes de California un mayor control sobre la información personal que las empresas recopilan sobre ellos. Entró en vigor el 1 de enero de 2020, y su aplicación comenzó el 1 de julio de 2020.

A menudo se llama a la CCPA el "GDPR de los Estados Unidos" porque fue la primera ley integral de privacidad en Estados Unidos, aunque tiene diferencias significativas con respecto a su contraparte europea.

CCPA frente a CPRA: ¿qué cambió?

En noviembre de 2020, los votantes de California aprobaron la Proposición 24, que creó la California Privacy Rights Act (CPRA). La CPRA es esencialmente la CCPA 2.0: enmienda y amplía la ley original.

Cambios clave de la CPRA que entraron en vigor el 1 de enero de 2023:

  • Creó una nueva agencia de aplicación: la California Privacy Protection Agency (CPPA)
  • Introdujo la categoría de "información personal sensible" con protecciones adicionales
  • Amplió el derecho a corregir datos inexactos
  • Aumentó el período retroactivo para las solicitudes de datos de 12 a 15 meses
  • Triplicó el umbral de ingresos de $25 million a $25 million (ajustado por inflación)
  • Añadió nuevas restricciones a la toma de decisiones automatizada
  • Introdujo evaluaciones de riesgo para el procesamiento de datos de alto riesgo

Cuando hoy en día las personas se refieren a la "CCPA", normalmente se refieren a la ley enmendada por la CPRA.

¿A quién se aplica la CCPA?

La CCPA se aplica a las empresas con fines de lucro que operan en California y cumplen al menos uno de estos umbrales:

Umbral de ingresos

Ingresos brutos anuales que superan los $25 million (ajustados anualmente por inflación, actualmente $26.45 million para 2025)

Umbral de datos del consumidor

Comprar, vender o compartir la información personal de 100,000 o más consumidores u hogares de California por año

Ingresos por venta de datos

Obtener el 50% o más de los ingresos anuales de la venta o el intercambio de información personal de los consumidores

¿No está seguro de si la CCPA se aplica a usted? Cree una política de privacidad conforme a la CCPA para asegurarse de estar cubierto independientemente del tamaño de su negocio.

Notas importantes

  • No necesita estar ubicado en California: atender a residentes de California es suficiente
  • Las organizaciones sin fines de lucro generalmente están exentas
  • Los proveedores de servicios y los contratistas tienen obligaciones diferentes
  • La ley se aplica a la información personal recopilada tanto en línea como fuera de línea

¿Qué información personal protege la CCPA?

La CCPA tiene una definición amplia de información personal. Cubre cualquier información que identifique, se relacione o pueda vincularse razonablemente con un consumidor u hogar de California en particular.

Categorías de información personal

  1. Identificadores

    • Nombre real, alias, dirección postal, correo electrónico, número de teléfono
    • Identificador personal único, dirección IP, nombre de cuenta
    • Número de seguro social, licencia de conducir, número de pasaporte

  2. Registros de clientes

    • Historial de compras, información de pago
    • Información de empleo
    • Información educativa

  3. Clasificaciones protegidas

    • Edad, raza, género, orientación sexual
    • Estado civil, condición de veterano
    • Estado de discapacidad

  4. Información comercial

    • Productos o servicios adquiridos
    • Historiales de compra o consumo
    • Tendencias o preferencias

  5. Información biométrica

    • Huellas dactilares, datos de reconocimiento facial
    • Huellas de voz, escaneos de iris
    • Patrones de comportamiento

  6. Actividad en internet

    • Historial de navegación, historial de búsqueda
    • Información sobre la interacción del consumidor con sitios web o aplicaciones
    • Datos de flujo de clics

  7. Datos de geolocalización

    • Datos de ubicación precisa
    • Patrones de movimiento

  8. Datos sensoriales

    • Información de audio, electrónica, visual o similar

  9. Información profesional

    • Historial laboral actual o pasado
    • Evaluaciones de desempeño

  10. Inferencias

    • Perfil que refleja preferencias, características, comportamiento, actitudes

Información personal sensible (según la CPRA)

La CPRA creó una categoría especial que requiere protecciones adicionales:

  • Números de seguro social, licencia de conducir, pasaporte
  • Credenciales de cuenta con contraseñas
  • Geolocalización precisa
  • Origen racial o étnico, creencias religiosas, afiliación sindical
  • Contenido de correo postal, correo electrónico y mensajes de texto
  • Datos genéticos
  • Datos biométricos para identificación
  • Información de salud
  • Vida sexual u orientación sexual

Derechos del consumidor según la CCPA

La CCPA otorga a los consumidores de California varios derechos exigibles:

Derecho a saber

Los consumidores pueden solicitar:

  • Qué categorías de información personal ha recopilado
  • Las piezas específicas de información personal que posee
  • Las fuentes de esa información
  • Los fines comerciales de la recopilación
  • Los terceros con quienes ha compartido datos

Debe responder dentro de los 45 days (con una posible extensión de 45 days).

Derecho a eliminar

Los consumidores pueden solicitar la eliminación de su información personal, con ciertas excepciones (por ejemplo, completar transacciones, obligaciones legales, fines de seguridad).

Derecho a optar por no participar en la venta o el intercambio

Los consumidores pueden optar por no participar en la venta o el intercambio de su información personal. Debe proporcionar un enlace claro de "Do Not Sell or Share My Personal Information" en su sitio web.

Derecho a corregir

Según la CPRA, los consumidores pueden solicitar la corrección de información personal inexacta.

Derecho a limitar el uso de información personal sensible

La CPRA permite a los consumidores limitar el uso y la divulgación de su información personal sensible a lo necesario para proporcionar bienes o servicios.

Derecho a la no discriminación

Las empresas no pueden discriminar a los consumidores por ejercer sus derechos bajo la CCPA. Sin embargo, puede ofrecer incentivos financieros por la recopilación de datos si se divulgan adecuadamente.

Obligaciones empresariales según la CCPA

Si la CCPA se aplica a su negocio, debe:

1. Proporcionar una política de privacidad

Su política de privacidad debe incluir:

  • Las categorías de información personal recopilada
  • Las fuentes de información personal
  • Los fines comerciales de la recopilación
  • Las categorías de terceros con quienes comparte datos
  • Los derechos del consumidor según la CCPA
  • Cómo ejercer esos derechos
  • Las categorías de información vendida o compartida (si corresponde)
  • Las categorías de información personal sensible recopilada

2. Añadir los enlaces requeridos

Debe proporcionar:

  • Un enlace claro y visible titulado "Do Not Sell or Share My Personal Information" (si vende o comparte datos)
  • Un enlace a "Limit the Use of My Sensitive Personal Information" (si corresponde según la CPRA)
  • Enlaces en su política de privacidad para solicitar acceso o eliminación de datos

3. Atender las solicitudes del consumidor

Establezca un proceso para:

  • Verificar la identidad del consumidor
  • Responder a las solicitudes dentro de los 45 days
  • Proporcionar datos en un formato portátil y fácilmente utilizable
  • Mantener registros de las solicitudes durante 24 months

4. Capacitar a los empleados

Asegúrese de que los empleados que manejan consultas o solicitudes de los consumidores estén capacitados sobre los requisitos de la CCPA y los derechos del consumidor.

5. Actualizar los contratos con los proveedores de servicios

Los contratos con proveedores de servicios deben:

  • Prohibir la venta de información personal
  • Prohibir la retención o el uso fuera del contrato
  • Exigir la certificación de cumplimiento

6. Realizar evaluaciones de riesgo (CPRA)

Para actividades de procesamiento de alto riesgo, realice y presente auditorías de ciberseguridad y evaluaciones de riesgo a la CPPA.

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app. Create yours in minutes with TermsBox.

Generate Now

¿Listo para cumplir? Genere una política de privacidad conforme a la CCPA que cubra todas las divulgaciones requeridas.

Sanciones y aplicación de la CCPA

La CCPA cuenta con aplicación tanto regulatoria como mediante el derecho privado de acción:

Sanciones administrativas

El Fiscal General de California (y ahora la CPPA según la CPRA) puede imponer:

  • Hasta $2,500 por infracción
  • Hasta $7,500 por infracción intencional

Los reguladores normalmente otorgan un período de subsanación de 30 días para las primeras infracciones antes de imponer multas.

Derecho privado de acción (filtraciones de datos)

Los consumidores pueden demandar directamente por filtraciones de datos que involucren:

  • Información personal sin cifrar o sin ocultar
  • Daños legales de $100 a $750 por consumidor, por incidente
  • Daños reales si son mayores

Acciones de aplicación notables de la CCPA

  • Sephora - acuerdo de $1.2 million por no divulgar la venta de información personal y no atender las solicitudes de exclusión
  • DoorDash - acuerdo por notificación inadecuada de las ventas de datos
  • Minoristas - múltiples acuerdos por enlaces faltantes de "Do Not Sell"

La CPPA comenzó la aplicación activa en 2023 y ha indicado una acción más agresiva en el futuro.

Cómo cumplir con la CCPA

Aquí tiene una hoja de ruta práctica para el cumplimiento de la CCPA:

Paso 1: Determinar si la CCPA se aplica

Calcule:

  • Los ingresos anuales
  • El número de consumidores de California cuyos datos procesa
  • El porcentaje de ingresos provenientes de la venta de datos

Paso 2: Mapeo de datos

Realice un inventario de datos:

  • ¿Qué información personal recopila?
  • ¿De qué fuentes?
  • ¿Con qué fines?
  • ¿Con quién la comparte?
  • ¿Cuánto tiempo la conserva?

Paso 3: Actualizar su política de privacidad

Asegúrese de que su política incluya:

  • Todas las divulgaciones requeridas por la CCPA
  • Un lenguaje claro y sencillo
  • Una ubicación fácil de encontrar (enlace en el pie de página)
  • Un ciclo de actualización de 12 meses

Paso 4: Implementar mecanismos para los derechos del consumidor

Configure:

  • Un formulario web para solicitudes de acceso o eliminación
  • Un número de teléfono gratuito (para empresas con presencia en línea)
  • Un correo electrónico de contacto para solicitudes
  • Un proceso de verificación de identidad
  • Un flujo de trabajo de respuesta con seguimiento del plazo de 45 days

Paso 5: Añadir los enlaces requeridos

En su sitio web:

  • Enlace "Do Not Sell or Share My Personal Information" (si corresponde)
  • Enlace "Limit the Use of My Sensitive Personal Information" (si corresponde)
  • Enlace a la política de privacidad en el pie de página

Paso 6: Revisar las relaciones con terceros

Para los proveedores de servicios:

  • Actualice los contratos con el lenguaje de la CCPA
  • Obtenga certificaciones de cumplimiento
  • Audite las prácticas de intercambio de datos

Paso 7: Capacitar a su equipo

Asegúrese de que el personal comprenda:

  • Qué es la CCPA y a quién se aplica
  • Los derechos del consumidor según la CCPA
  • Cómo manejar las solicitudes
  • Qué constituye una "venta" de datos

Paso 8: Implementar controles técnicos

Configure:

  • Gestión del consentimiento de cookies (para la exclusión de las ventas)
  • Flujos de trabajo de eliminación de datos
  • Herramientas de portabilidad de datos
  • Reconocimiento de señales de exclusión (Global Privacy Control)

¿Necesita ayuda con las cookies? Cree una política de cookies que explique sus prácticas de seguimiento y atienda las solicitudes de exclusión.

CCPA frente a GDPR: diferencias clave

Aunque ambas leyes protegen la privacidad del consumidor, tienen diferencias importantes:

Aspecto CCPA GDPR
Alcance Residentes de California Residentes de la UE
Tamaño de la empresa Umbrales de ingresos/datos Todas las empresas que procesan datos de la UE
Modelo de consentimiento Exclusión (excepto menores) Inclusión requerida
Venta de datos Debe permitir la exclusión Generalmente prohibida
Sanciones Hasta $7,500 por infracción Hasta 4% de los ingresos globales
Delegado de protección de datos No requerido Requerido para algunas
Base legal No requerida Debe establecerse para cada fin
Aplicación Fiscal General estatal, CPPA, consumidores Autoridades de supervisión

Conclusión clave

El GDPR es generalmente más integral y estricto. Si ya cumple con el GDPR, está bien encaminado hacia el cumplimiento de la CCPA, pero aún deberá abordar requisitos específicos de la CCPA, como el enlace "Do Not Sell" y el lenguaje de divulgación de la CCPA.

Errores comunes en el cumplimiento de la CCPA

Evite estos errores frecuentes:

  1. Falta del enlace "Do Not Sell" - Requerido incluso si afirma que no "vende" datos en el sentido tradicional
  2. Política de privacidad inadecuada - Debe incluir las 11 categorías requeridas de divulgaciones
  3. Sin proceso de verificación - Debe verificar la identidad del consumidor antes de responder a las solicitudes
  4. Cobrar por las solicitudes - No puede cobrar tarifas por las primeras dos solicitudes por año
  5. Discriminar a los solicitantes - No puede negar el servicio ni cobrar precios diferentes a los consumidores que ejercen sus derechos
  6. Ignorar a los agentes autorizados - Debe atender las solicitudes de los agentes autorizados por el consumidor
  7. No respetar Global Privacy Control - La CPRA exige reconocer las señales de exclusión basadas en el navegador
  8. Falta de actualización de contratos - Los acuerdos con proveedores de servicios deben incluir un lenguaje específico de la CCPA

La CCPA y otras leyes estatales de privacidad

La CCPA inspiró leyes similares en todo Estados Unidos:

  • Virginia (VCDPA) - Vigente desde el 1 de enero de 2023
  • Colorado (CPA) - Vigente desde el 1 de julio de 2023
  • Connecticut (CTDPA) - Vigente desde el 1 de julio de 2023
  • Utah (UCPA) - Vigente desde el 31 de diciembre de 2023
  • Iowa, Montana, Oregón, Tennessee, Texas - Varias fechas de entrada en vigor entre 2024 y 2025

Muchas empresas adoptan un enfoque a nivel nacional utilizando la CCPA como base para evitar mantener programas de cumplimiento separados para cada estado.

Primeros pasos con el cumplimiento de la CCPA

El primer paso más importante es crear una política de privacidad conforme que:

  1. Divulgue sus prácticas de datos con claridad - Qué recopila, por qué y cómo
  2. Explique los derechos del consumidor - Todos los derechos disponibles según la CCPA/CPRA
  3. Proporcione mecanismos de contacto - Cómo pueden los consumidores ejercer sus derechos
  4. Enumere las ventas o el intercambio de datos - Si corresponde, qué categorías vende o comparte
  5. Se actualice anualmente - Revise y actualice al menos una vez cada 12 meses

A partir de ahí, implemente los procesos técnicos y operativos para atender los derechos del consumidor y mantener el cumplimiento.

Preguntas frecuentes

¿Qué significa CCPA?

CCPA significa California Consumer Privacy Act (Ley de Privacidad del Consumidor de California). Es una ley integral de privacidad de datos que entró en vigor el 1 de enero de 2020, otorgando a los residentes de California control sobre su información personal.

¿A quién se aplica la CCPA?

La CCPA se aplica a las empresas con fines de lucro que operan en California y cumplen al menos uno de estos umbrales: ingresos anuales superiores a $25 million, compraventa de información personal de más de 100,000 consumidores de California, o que obtienen el 50%+ de sus ingresos de la venta de información personal.

¿Cuáles son las sanciones por infracciones de la CCPA?

Las infracciones de la CCPA pueden resultar en multas de hasta $2,500 por infracción o $7,500 por infracción intencional. Las infracciones por filtración de datos pueden dar lugar a demandas de los consumidores con daños de $100-$750 por incidente, por consumidor.

¿Cuál es la diferencia entre la CCPA y la CPRA?

La CPRA (California Privacy Rights Act) es una enmienda a la CCPA que entró en vigor el 1 de enero de 2023. Amplía los derechos del consumidor, crea la California Privacy Protection Agency e introduce requisitos más estrictos para la información personal sensible.

¿Necesito cumplir tanto con la CCPA como con el GDPR?

Si atiende tanto a residentes de California como a residentes de la UE, debe cumplir con ambas leyes. La CCPA es generalmente menos estricta que el GDPR, por lo que si ya cumple con el GDPR, probablemente esté cerca de cumplir con la CCPA.

Conclusión

La CCPA representa un cambio significativo en la ley de privacidad de Estados Unidos, otorgando a los consumidores de California un control significativo sobre su información personal. Aunque el cumplimiento requiere esfuerzo, como actualizar políticas, implementar mecanismos de solicitud y capacitar al personal, el principio fundamental es sencillo: ser transparente sobre las prácticas de datos y respetar las decisiones del consumidor.

Para la mayoría de las empresas, el mayor esfuerzo es el trabajo inicial de cumplimiento. Una vez que haya actualizado su política de privacidad, implementado los flujos de trabajo de solicitud y añadido los enlaces requeridos, el cumplimiento continuo se vuelve rutinario.

La clave es comenzar ahora. Con la CPPA aplicando activamente la ley y los consumidores cada vez más conscientes de sus derechos, el cumplimiento de la CCPA ya no es opcional para las empresas que atienden a residentes de California.

¿Listo para crear su política de privacidad conforme a la CCPA? Use nuestro generador gratuito para crear una política completa que cubra todos los requisitos de la CCPA en minutos.

Related Tools

Privacy Policy Generator

Create a comprehensive privacy policy for your website or app

Cookie Policy Generator

Create a cookie policy for GDPR compliance

Related Articles

Ecommerce

Requisitos de la política de privacidad para ecommerce: lo que deben incluir las tiendas online

Guía completa sobre los requisitos de la política de privacidad para sitios web de ecommerce. Descubre qué divulgaciones necesitan las tiendas online para pagos, envíos y marketing.

January 17, 202511 min read
Legal Compliance

GDPR vs CCPA: diferencias clave explicadas

Compara las leyes de privacidad GDPR y CCPA. Conoce las diferencias clave en alcance, modelos de consentimiento, derechos del consumidor y sanciones para asegurar que tu empresa cumpla la normativa.

January 17, 202514 min read
Mobile Apps

Requisitos de la política de privacidad para aplicaciones móviles: guía de cumplimiento para iOS y Android

Conoce los requisitos de la política de privacidad para aplicaciones móviles. Cubre las reglas de Apple App Store, Google Play Store y el cumplimiento legal para apps de iOS y Android.

January 16, 202514 min read

Ready to Create Your Legal Documents?

Generate professional privacy policies, terms of service, and more in minutes. Free to start, no credit card required.

View All Generators

On This Page

  • ¿Qué es la CCPA?
  • CCPA frente a CPRA: ¿qué cambió?
  • ¿A quién se aplica la CCPA?
  • Umbral de ingresos
  • Umbral de datos del consumidor
  • Ingresos por venta de datos
  • Notas importantes
  • ¿Qué información personal protege la CCPA?
  • Categorías de información personal
  • Información personal sensible (según la CPRA)
  • Derechos del consumidor según la CCPA
  • Derecho a saber
  • Derecho a eliminar
  • Derecho a optar por no participar en la venta o el intercambio
  • Derecho a corregir
  • Derecho a limitar el uso de información personal sensible
  • Derecho a la no discriminación
  • Obligaciones empresariales según la CCPA
  • 1. Proporcionar una política de privacidad
  • 2. Añadir los enlaces requeridos
  • 3. Atender las solicitudes del consumidor
  • 4. Capacitar a los empleados
  • 5. Actualizar los contratos con los proveedores de servicios
  • 6. Realizar evaluaciones de riesgo (CPRA)
  • Sanciones y aplicación de la CCPA
  • Sanciones administrativas
  • Derecho privado de acción (filtraciones de datos)
  • Acciones de aplicación notables de la CCPA
  • Cómo cumplir con la CCPA
  • Paso 1: Determinar si la CCPA se aplica
  • Paso 2: Mapeo de datos
  • Paso 3: Actualizar su política de privacidad
  • Paso 4: Implementar mecanismos para los derechos del consumidor
  • Paso 5: Añadir los enlaces requeridos
  • Paso 6: Revisar las relaciones con terceros
  • Paso 7: Capacitar a su equipo
  • Paso 8: Implementar controles técnicos
  • CCPA frente a GDPR: diferencias clave
  • Conclusión clave
  • Errores comunes en el cumplimiento de la CCPA
  • La CCPA y otras leyes estatales de privacidad
  • Primeros pasos con el cumplimiento de la CCPA
  • Preguntas frecuentes
  • Conclusión
TermsBox

Escanea tu sitio web, genera documentos legales automáticamente, añade un banner de consentimiento y mantén el cumplimiento. Una plataforma para todo.

Producto

  • Escáner de cookies
  • Banner de consentimiento
  • Generador de política de cookies
  • Precios

Generadores

  • Generador de política de privacidad
  • Generador de términos y condiciones
  • Generador de EULA
  • Generador de aviso legal
  • Generador de política de devoluciones y reembolsos

Empresa

  • Acerca de
  • Contacto
  • Política de privacidad
  • Términos del servicio
  • Política de cookies
GDPR
ePrivacy
CCPA
LGPD
Google Consent Mode v2
IAB TCF 2.2
© 2026 TermsBox. Todos los derechos reservados.