Ir al contenido

¿Qué es la CCPA?

Autor
Usercentrics
Tiempo de lectura
6 mins
Publicado
Jun 26, 2025
Blog / ¿Qué es la CCPA?
Resumen

¿Qué es la CCPA?

La CCPA, también conocida como Ley de Privacidad del Consumidor de California, es una de las leyes de protección de datos pioneras en Estados Unidos. Entró en vigor el 1 de enero de 2020, después de que se promulgase el RGPD en la Unión Europea en mayo de 2018. Esta normativa establece nuevos estándares de transparencia y responsabilidad para las empresas que tratan información personal de residentes en California. 

Aunque se trata de una ley estatal, su alcance es global. Si tu empresa realiza su actividad comercial con personas que residen en California, aunque no tenga sede allí, debe respetar las leyes de privacidad. Con todo, a diferencia del Reglamento General de Protección de Datos, la legislación de privacidad en California a día de hoy solo se aplica a empresas que cumplan alguno de estos tres requisitos:

  • Que procesen datos de más de 100.000 residentes en California (anualmente)
  • Con ingresos brutos anuales superiores a $25 millones
  • Si reciben más de la mitad de sus ingresos anuales como resultado de vender o intercambiar información de carácter personal de californianos

Es importante tener en cuenta que los requisitos mencionados incorporan las ampliaciones que introdujo la CPRA a la CCPA, como el aumento del umbral de 50.000 a 100.000 residentes y la obligación de cumplir la ley si el 50% de ingresos se obtiene por efecto de compartir datos personales, y no solo venderlos.

La finalidad de estas medidas legales en California es dar soberanía sobre los datos personales a los consumidores, en un contexto en que la digitalización de las empresas ha supuesto mercantilizar con información de carácter personal.

Es importante que las empresas que operan en el mercado californiano conozcan esta legislación y la apliquen con el fin de proteger su reputación, garantizar los derechos individuales y evitar multas.

Principales requisitos de la CCPA para las empresas

Para empresas interesadas en cumplir las exigencias legales en California, a continuación vamos a ver los derechos de los consumidores respecto a sus datos con la CCPA y la ampliación de derechos de la CPRA en 2023.

Derechos de los consumidores

Los residentes de California tienen una serie de derechos fundamentales sobre sus datos personales.

  • Derecho de acceso a sus datos, exigible a la empresa
  • Derecho de eliminación, salvo si la empresa está obligada a conservar los datos por un contrato u otra exigencia legal
  • Derecho de oponerse a la venta de datos, conocido como opt-out
  • Derecho a corregir información inexacta de los datos
  • Derecho a limitar el uso de información sensible

Requisitos de la CCPA para las empresas

Todas las empresas que cumplan alguno de los tres umbrales de la ley de privacidad de California tienen que cumplir una serie de obligaciones:

  • Contar con una política de privacidad transparente, accesible, actualizada y conforme a normativa
  • Ofrecer mecanismos sencillos para ejercer los derechos sobre los datos
  • Obtener el consentimiento de usuarios menores de 16 años o sus progenitores o tutores si son menores de 13, antes de difundir sus datos a terceros
  • Proporcionar de forma gratuita y sin discriminación todo el tratamiento de sus datos durante el último año a cualquier usuario que lo solicite

Las empresas deben incluir un enlace visible en su página web titulado «Do Not Sell or Share My Personal Information», para solicitar que no se venda ni comparta su información personal con terceros.

¿Qué datos son relevantes de cara a la CCPA?

La CCPA, especialmente tras su modificación por la CPRA (California Privacy Rights Act), ofrece una definición amplia y detallada de los datos personales que protege, así como de las actividades relacionadas con su tratamiento. 

A diferencia de otras leyes internacionales de privacidad, la legislación californiana no emplea los conceptos tradicionales de «responsable del tratamiento» o «encargado del tratamiento». En su lugar, opta por una aproximación centrada en la relación directa con el consumidor y el uso que se hace de su información.

Información personal según la CCPA/CPRA

La ley considera información personal a toda aquella que identifica, se relaciona, describe, puede asociarse razonablemente o puede vincularse (de manera directa o indirecta) con una persona física o un hogar determinado. Este tipo de datos se conoce como datos personales en otras normativas internacionales y estatales de Estados Unidos, así como a nivel global.

Información personal sensible

Con la CPRA se añadió la categoría especial de datos sensibles. Esto incluye toda aquella información cuyo uso indebido podría causar perjuicio al consumidor. Por ejemplos:

  • Número de pasaporte, de la Seguridad Social y otros
  • Origen racial o étnico
  • Número de una tarjeta bancaria
  • Información genética
  • Datos precisos de geolocalización
  • Contenido de mensajes privados, como correos electrónicos

Identificador único

La norma también introduce el concepto de identificador único. Es cualquier identificador persistente que pueda utilizarse para reconocer a un consumidor, a su familia o a su dispositivo, a lo largo del tiempo y entre distintos servicios.

Por ejemplo:

  • Dirección IP
  • Identificadores de dispositivos
  • Cookies, balizas web, píxeles, identificadores de anuncios móviles y tecnologías similares
  • Alias de usuario, número de cliente o seudónimos únicos

Se entiende por familia al padre, madre o tutor legal con custodia, junto con los menores de 18 años a su cargo.

Consentimiento

La ley establece que el consentimiento debe ser libre, específico, informado e inequívoco. Debe reflejar, mediante una declaración clara o una acción afirmativa explícita, la voluntad del consumidor (o de su representante legal) de permitir el tratamiento de su información personal con un fin concreto y bien definido.

No se considera consentimiento válido:

  • Aceptar términos y condiciones generales de uso
  • Acciones pasivas como pasar el cursor, silenciar o cerrar un contenido
  • Consentimiento obtenido mediante «dark patterns» (diseños manipulativos que inducen al error o a la confusión)

Venta de datos según la CCPA/CPRA

La ley define «venta» como la transmisión, revelación, publicación, cesión o cualquier otra forma de comunicación de datos personales a un tercero, a cambio de dinero u otra contraprestación de valor.

No se considera venta cuando:

  • El propio consumidor utiliza un servicio o autoriza la comunicación con terceros
  • La empresa comparte un identificador únicamente para informar de que el consumidor ha optado por ejercer su derecho
  • La transmisión de los datos personales se produce en el contexto de una fusión, adquisición, quiebra u operación similar

Diferencias entre CCPA y el RGPD

La CCPA (California Consumer Privacy Act) y el RGPD (Reglamento General de Protección de Datos de la Unión Europea) comparten un objetivo común: proteger la privacidad de los ciudadanos frente al uso indebido de sus datos personales. Sin embargo, presentan diferencias notables en su alcance, enfoque y obligaciones. A continuación, analizamos sus principales similitudes y contrastes.

En general, el RGPD es una ley más completa y restrictiva, con un enfoque en la protección de derechos fundamentales del individuo. La CCPA, en cambio, parte de una perspectiva comercial y orientada al consumidor, con foco en la transparencia y el control de la venta de datos.

Entre las diferencias más significativas se encuentra la referente al consentimiento. Mientras que la CCPA solo lo exige para tratar datos de menores o de carácter sensible, el consentimiento RGPD es siempre obligatorio para cualquier procesamiento de datos personales.

Cómo cumplir con la CCPA

El cumplimiento de la CCPA no es solo una obligación legal para las empresas que tratan con datos de consumidores californianos, sino también una oportunidad para reforzar la confianza, la transparencia y la reputación corporativa.

Antes de aplicar medidas técnicas o legales, es imprescindible comprender qué datos personales recopila la empresa, cómo los utiliza y con quién los comparte. Para ello, conviene realizar un inventario de datos personales: identificar fuentes, tipos de datos, finalidades, destinatarios y sistemas implicados.

También es importante actualizar la página web, revisando la política de privacidad para que incluya:

  • Las categorías de datos recogidos
  • Los fines del tratamiento
  • Los derechos de los consumidores
  • Enlaces claros al formulario de solicitud y al opt-out de venta de datos

Otro paso fundamental para cumplir con la normativa de protección de datos en California es habilitar canales de contacto accesibles para que los usuarios puedan ejercer sus derechos. También se debe establecer un protocolo interno que permita verificar la identidad del solicitante. 

Por otra parte, el cumplimiento legal requiere que los empleados que interactúan con datos o clientes estén formados y alineados con la normativa. 

Además, la tecnología puede ser una gran aliada para automatizar procesos, minimizar errores y asegurar trazabilidad. En este sentido, una CMP como la que ofrece Usercentrics permite controlar el uso de cookies y el consentimiento del usuario.

Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

Preguntas frecuentes

¿Qué es la CCPA y cuál es su propósito principal?

La CCPA es la ley de protección de datos personales vigente en California desde el año 2020. Su objetivo principal es otorgar a los consumidores mayor control sobre su información personal, obligando a las empresas a ser transparentes con el uso, recopilación, venta y divulgación de esos datos.

¿Qué derechos otorga la CCPA a los consumidores?

La ley reconoce los siguientes derechos fundamentales a los residentes de California:

  • Derecho a saber qué datos personales recoge una empresa y cómo los utiliza
  • Derecho a eliminar esos datos, salvo excepciones legales
  • Derecho a oponerse a la venta de sus datos a terceros (opt-out)
  • Derecho a la no discriminación, es decir, a no recibir un trato diferente por ejercer sus derechos

Desde 2023, con la entrada en vigor de la CPRA, se amplían los derechos para incluir la corrección de datos inexactos y la limitación del uso de información personal sensible.

¿Cómo afecta la CCPA a las pequeñas empresas?

La CCPA no se aplica a todas las empresas, sino solo a aquellas que cumplen al menos uno de los siguientes criterios:

  • Ingresos brutos anuales superiores a 25 millones de dólares
  • Tratan datos personales de al menos 100.000 consumidores o dispositivos al año
  • Obtienen al menos el 50 % de sus ingresos anuales por la venta o intercambio de datos personales

Muchas pequeñas empresas locales no entran en su ámbito de aplicación, pero aquellas que recopilan grandes volúmenes de datos o prestan servicios digitales a escala pueden verse afectadas, incluso si no están físicamente ubicadas en California.

¿Cuáles son las consecuencias de no cumplir con la CCPA?

El incumplimiento de la CCPA puede dar lugar a sanciones civiles impuestas por el Estado de California:

  • Hasta 2.500 USD (equivalente a 2.163€ a junio de 2025) por infracción no intencional
  • Hasta 7.500 USD (equivalente a 6. 490 € a junio de 2025) por infracción intencional o cuando afecta a menores de edad

Además, los consumidores pueden reclamar indemnizaciones en casos de brechas de seguridad o exposición no autorizada de sus datos personales.

Más allá de las consecuencias legales, el incumplimiento puede generar una grave pérdida de confianza y reputación para la empresa.