CCPA, CPRA y leyes de privacidad de EE. UU.: cumplimiento de cookies más allá de Europa
Estados Unidos adopta un enfoque radicalmente distinto al europeo en materia de privacidad de las cookies. No existe una ley federal sobre cookies, ni un requisito universal de consentimiento, ni una única autoridad de protección de datos. En su lugar, un mosaico cada vez más amplio de leyes de privacidad a nivel estatal crea un panorama cada vez más complejo para los operadores de sitios web. Comprender el enfoque estadounidense — y en qué se diferencia del GDPR — es esencial para cualquier empresa que reciba visitantes de ambos lados del Atlántico.
El panorama de la privacidad en EE. UU.: una visión general
La distinción más importante entre la legislación estadounidense y la europea sobre cookies es el modelo regulatorio:
- Modelo de la UE: opt-in (consentimiento previo). Debe obtener el consentimiento antes de instalar cookies no esenciales. Por defecto, no hay seguimiento.
- Modelo de EE. UU.: opt-out (exclusión voluntaria). Puede recopilar y compartir información personal por defecto, pero debe ofrecer a los consumidores la posibilidad de excluirse. Por defecto, hay seguimiento, con un botón para desactivarlo.
Esta diferencia de filosofía se refleja en todos los aspectos de la regulación de cookies. En la UE, un banner de cookies pide permiso. En EE. UU., un banner de cookies (si es que existe) normalmente informa a los usuarios de su derecho a excluirse.
A principios de 2026, se han promulgado leyes integrales de privacidad estatales en al menos 15 estados, con más en fase de estudio activo. Sin embargo, solo unas pocas tienen implicaciones específicas para el cumplimiento en materia de cookies.
California: CCPA y CPRA
California es el estado más relevante de EE. UU. en cuanto a regulación de la privacidad. La California Consumer Privacy Act (CCPA), en vigor desde el 1 de enero de 2020, fue la primera ley integral de privacidad estatal. Fue modificada sustancialmente por la California Privacy Rights Act (CPRA), que entró plenamente en vigor el 1 de enero de 2023, con la aplicación por parte de la California Privacy Protection Agency (CPPA) a partir del 1 de julio de 2023.
Cómo se relacionan las cookies con la CCPA/CPRA
La CCPA/CPRA no regula las cookies directamente. En su lugar, regula la recopilación, venta y transmisión de información personal, que incluye los datos recopilados a través de cookies. Los conceptos clave son:
- La «información personal» bajo la CCPA/CPRA incluye identificadores en línea, direcciones IP, historial de navegación e información sobre la interacción de un consumidor con un sitio web — todo ello se recopila habitualmente mediante cookies.
- La «venta» se define de forma amplia como poner información personal a disposición de un tercero a cambio de una contraprestación económica o de otro valor. Si las cookies publicitarias de terceros de su sitio comparten datos de visitantes con redes publicitarias, esto puede constituir una «venta» según la CCPA.
- La «transmisión» (añadida por la CPRA) abarca poner información personal a disposición de terceros para publicidad conductual entre contextos, independientemente de si media dinero. Esto incluye explícitamente las cookies publicitarias en su ámbito de aplicación.
Requisitos clave
- Enlace «Do Not Sell or Share My Personal Information»: si su sitio web vende o transmite información personal (lo que incluye la mayoría de los escenarios de cookies publicitarias), debe proporcionar un enlace claramente etiquetado en su página de inicio que permita a los consumidores excluirse. Este es el equivalente estadounidense a un mecanismo de consentimiento de cookies, aunque funciona sobre la base de exclusión (opt-out) en lugar de inclusión (opt-in).
- Global Privacy Control (GPC): según la normativa de la CPRA finalizada por la CPPA, las empresas deben tratar las señales GPC enviadas por el navegador del usuario como una solicitud válida de exclusión. GPC es una señal a nivel de navegador (similar en concepto al antiguo Do Not Track, pero jurídicamente vinculante bajo la CCPA/CPRA). Si el navegador de un usuario envía una señal GPC, debe dejar de vender o transmitir su información personal — lo que significa desactivar las cookies publicitarias y de seguimiento para ese usuario.
- Divulgación en la política de privacidad: su política de privacidad debe indicar las categorías de información personal recopilada, los fines de la recopilación, las categorías de terceros con quienes se comparte la información y si esta se vende o se transmite.
- Información personal sensible: la CPRA introduce el derecho a «Limit the Use of My Sensitive Personal Information». Si las cookies recopilan información sensible (como geolocalización precisa), los consumidores deben poder limitar su uso.
- Menores: para los consumidores menores de 16 años, la CCPA/CPRA pasa a un modelo de opt-in. No puede vender ni transmitir la información personal de un consumidor que sepa que es menor de 16 años sin consentimiento afirmativo (del propio consumidor si tiene entre 13 y 15 años, o de un padre/tutor si es menor de 13).
Quién debe cumplir
La CCPA/CPRA se aplica a empresas con ánimo de lucro que operan en California y cumplen alguno de los siguientes umbrales: ingresos brutos anuales superiores a 25 millones de dólares; compra, venta o transmisión de información personal de 100.000 o más consumidores u hogares; u obtención del 50 % o más de sus ingresos anuales de la venta o transmisión de información personal de los consumidores.
Otras leyes estatales de privacidad de EE. UU.
Varios otros estados han promulgado leyes integrales de privacidad con implicaciones para el cumplimiento en materia de cookies. Aunque ninguna es tan detallada como la CCPA/CPRA, establecen temas coherentes en torno a los derechos de exclusión y la transparencia de los datos.
Colorado Privacy Act (CPA)
En vigor: 1 de julio de 2023. Aplicada por: el fiscal general de Colorado.
Exige derechos de exclusión para la publicidad dirigida y la venta de datos personales. Las empresas deben respetar los mecanismos universales de exclusión (como GPC). Las normas de Colorado exigen específicamente un método de exclusión «claro y visible» y reconocen las señales universales de exclusión, lo que hace que el cumplimiento de GPC sea prácticamente obligatorio para las empresas afectadas.
Connecticut Data Privacy Act (CTDPA)
En vigor: 1 de julio de 2023. Aplicada por: el fiscal general de Connecticut.
Similar a la ley de Colorado. Exige la exclusión para la publicidad dirigida, la venta de datos personales y la elaboración de perfiles. Requiere el reconocimiento de mecanismos universales de exclusión a partir del 1 de enero de 2025. Ofrece protecciones específicas para datos sensibles que requieren consentimiento de inclusión (opt-in).
Virginia Consumer Data Protection Act (VCDPA)
En vigor: 1 de enero de 2023. Aplicada por: el fiscal general de Virginia.
Ofrece derechos de exclusión para la publicidad dirigida y la venta de datos personales. No exige el reconocimiento de señales universales de exclusión (a diferencia de California, Colorado y Connecticut). Requiere consentimiento para el tratamiento de datos sensibles.
Texas Data Privacy and Security Act (TDPSA)
En vigor: 1 de julio de 2024. Aplicada por: el fiscal general de Texas.
Su alcance es notablemente amplio, sin umbral de ingresos — se aplica a cualquier entidad que opere en Texas, trate datos personales y no sea una pequeña empresa según la definición de la SBA. Exige la exclusión para la publicidad dirigida y la venta de datos. Requiere el reconocimiento de mecanismos universales de exclusión.
Oregon Consumer Privacy Act (OCPA)
En vigor: 1 de julio de 2024. Aplicada por: el fiscal general de Oregón.
Se aplica a las empresas que controlan o tratan los datos de más de 100.000 consumidores de Oregón, o de más de 25.000 consumidores si obtienen más del 25 % de sus ingresos de la venta de datos. Ofrece derechos estándar de exclusión y exige un periodo de subsanación de 30 días para las infracciones.
Comparación: estados de EE. UU. frente al GDPR
| Requisito | GDPR/ePrivacy | CCPA/CPRA | Otros estados de EE. UU. |
|---|---|---|---|
| Modelo de consentimiento | Opt-in (consentimiento previo) | Opt-out | Opt-out |
| Consentimiento de cookies requerido antes de instalarlas | Sí | No | No |
| Banner de cookies obligatorio | En la práctica, sí | No (se requiere enlace de exclusión) | No |
| Consentimiento granular por categoría | Sí | No | No |
| Derecho a excluirse del seguimiento | Sí (no dando consentimiento) | Sí («Do Not Sell/Share») | Sí (publicidad dirigida/venta de datos) |
| GPC/exclusión universal obligatoria | No especificado | Sí | Varía (CA, CO, CT, TX: sí) |
| Política de privacidad obligatoria | Sí | Sí | Sí |
| Datos sensibles: opt-in obligatorio | Sí (consentimiento explícito) | Derecho a limitar el uso | Varía (la mayoría: opt-in) |
| Aplicación | APD + acción privada (limitada) | CPPA + fiscal general + derecho de acción privada (violaciones de datos) | Solo el fiscal general |
| Multas máximas | 4 % de la facturación global / 20 M€ | 2.500 $/infracción; 7.500 $/intencionada | Varía; normalmente 7.500-10.000 $ |
Enfoque práctico: el cumplimiento del GDPR cubre la mayoría de los requisitos de EE. UU.
Si su sitio web ya cumple con el GDPR, está en una buena posición para cumplir con la normativa estadounidense. El modelo de opt-in del GDPR es más estricto que el modelo de opt-out de cualquier estado de EE. UU. Sin embargo, hay requisitos específicos de EE. UU. que el GDPR no aborda:
- Enlace «Do Not Sell or Share»: el GDPR exige la gestión del consentimiento, pero no un enlace específico «Do Not Sell or Share». Si tiene visitantes de California y cumple los umbrales de la CCPA, necesita este enlace.
- Reconocimiento de la señal GPC: aunque el GDPR no exige el reconocimiento de las señales del navegador, varios estados de EE. UU. lo obligan. Implementar el reconocimiento de GPC es sencillo y demuestra respeto por las preferencias del usuario.
- Divulgaciones específicas en la política de privacidad: la CCPA/CPRA exige divulgaciones con un formato concreto (categorías de información recopilada en los 12 meses anteriores, categorías de fuentes, etc.) que difieren de los requisitos del aviso de privacidad del GDPR.
- «Do Not Track» frente a GPC: la antigua señal de navegador Do Not Track (DNT) nunca fue jurídicamente vinculante. GPC es su sucesora y es jurídicamente vinculante bajo la CCPA/CPRA y varias otras leyes estatales. Asegúrese de que su plataforma de gestión del consentimiento reconozca y actúe sobre las señales GPC.
La posibilidad de una ley federal de privacidad en EE. UU.
La American Data Privacy and Protection Act (ADPPA) estuvo más cerca de aprobarse que cualquier proyecto de ley federal de privacidad anterior cuando avanzó a través del Comité de Energía y Comercio de la Cámara de Representantes en julio de 2022, pero finalmente quedó estancada. En sesiones posteriores del Congreso se han visto nuevas propuestas, pero a principios de 2026 no se ha promulgado ninguna ley federal de privacidad.
Los principales obstáculos siguen siendo:
- Preeminencia (preemption): si una ley federal debe prevalecer sobre las leyes estatales (California se opone a una preeminencia que debilitaría la CCPA/CPRA).
- Derecho de acción privada: si los particulares deben poder demandar directamente a las empresas por violaciones de la privacidad.
- Opt-in frente a opt-out: si el estándar federal debe adoptar un modelo de opt-in para los datos sensibles o mantener el enfoque de opt-out.
Hasta que se promulgue una ley federal, las empresas deben navegar por el mosaico estatal. El consejo práctico sigue siendo el mismo: construya un sistema de gestión del consentimiento capaz de gestionar los requisitos más restrictivos (opt-in del GDPR) e incorpore funciones específicas de EE. UU. (enlaces de exclusión, compatibilidad con GPC) según sea necesario.
Recomendaciones para el cumplimiento global
Para los sitios web que atienden tanto a visitantes de la UE como de EE. UU., el enfoque más eficiente es:
- Implementar una gestión del consentimiento conforme al GDPR como base. Esto le proporciona el modelo más estricto, que inherentemente satisface los requisitos menos exigentes.
- Añadir un mecanismo «Do Not Sell or Share» si cumple los umbrales de la CCPA o tiene un tráfico significativo de California.
- Implementar el reconocimiento de la señal GPC para todos los visitantes. Es una implementación técnica sencilla con importantes beneficios legales.
- Utilizar la geolocalización para ofrecer experiencias de consentimiento adecuadas. Los visitantes de la UE ven un banner de opt-in; los de EE. UU. ven un aviso menos intrusivo con opciones de exclusión. Esto equilibra el cumplimiento con la experiencia del usuario.
- Mantener divulgaciones de privacidad completas que satisfagan tanto los requisitos del GDPR como los de la CCPA/CPRA.
La tendencia global apunta inequívocamente hacia una mayor protección de la privacidad y un mayor control del usuario sobre las tecnologías de seguimiento. Construir ahora una gestión sólida del consentimiento es una inversión que dará frutos a medida que sigan surgiendo nuevas regulaciones.
¿Cumple tu sitio web con la normativa de cookies?
Escanea tu sitio web gratis y encuentra todas las cookies en minutos.
Escanea tus cookies gratis