CCPA y CPRA: privacidad de datos para tu sitio web en EE. UU.

Imagina que tienes una tienda online en México o un blog en Argentina, y un día notas en tu analítica visitas desde California. Sin darte cuenta, podrías estar tratando datos personales de californianos, y eso te puede colocar bajo el radar de la CCPA, la ley de privacidad de datos más influyente de Estados Unidos.

La buena noticia: no tienes que estar en California, ni siquiera en Estados Unidos, para entender lo esencial y reducir tu riesgo. La mayoría de las obligaciones se traducen en decisiones concretas de tu sitio: un aviso de privacidad honesto, un enlace visible, una forma de atender solicitudes y un sitio técnicamente seguro. En esta guía te explicamos qué son la CCPA y su reforma CPRA, a quién aplican, qué derechos da al consumidor y qué puedes revisar hoy.

Nota: esto es una guía práctica, no asesoría legal. Los umbrales, los montos de sanciones y los plazos cambian con el tiempo. Cuando algo sea incierto te diremos que verifiques el texto vigente o consultes con un abogado especializado en privacidad de datos en Estados Unidos.

Qué es la CCPA (y qué cambió con la CPRA)

La CCPA (California Consumer Privacy Act) es la ley de privacidad del estado de California, vigente desde 2020. Fue la primera ley estatal de gran alcance en Estados Unidos sobre datos personales y marcó el tono para muchas otras que vinieron después.

En 2023 entró en pleno efecto la CPRA (California Privacy Rights Act), que no reemplaza a la CCPA sino que la amplía y refuerza. Cuando hoy se habla de "CCPA", en la práctica casi siempre se habla de la versión ya enmendada por la CPRA. Sus aportes principales:

• Crea una categoría de información personal sensible (geolocalización precisa, salud, datos de menores, credenciales de acceso) con protecciones adicionales.
• Añade el derecho a corregir datos inexactos.
• Amplía el opt-out para cubrir no solo la venta de datos, sino también su compartición con fines de publicidad dirigida.
• Crea una autoridad dedicada: la CPPA (California Privacy Protection Agency).

Si vienes del mundo europeo, la lógica te resultará familiar: la CCPA persigue objetivos parecidos al GDPR, aunque con otro vocabulario.

A quién aplica (y por qué quizás te incluye)

Aquí está el punto que sorprende a muchos dueños de sitios: la CCPA no se limita a empresas con sede en California. Aplica a negocios con fines de lucro que tratan datos personales de residentes de California y que cumplen al menos uno de estos umbrales (según el texto vigente, que conviene verificar porque se actualizan):

• Ingresos brutos anuales por encima de cierto umbral (del orden de los 25 millones de dólares).
• Comprar, vender o tratar la información personal de un número alto de consumidores u hogares de California al año (el orden de magnitud son decenas de miles).
• Obtener una parte sustancial de los ingresos (alrededor de la mitad o más) de la venta o compartición de datos personales.

Dos matices importantes para tu sitio:

1. No tienes que estar físicamente en California. Lo que importa es que trates datos de personas que residen allí. Si tu tienda o servicio acepta clientes de California, podrías quedar dentro del alcance.
2. La mayoría de los sitios pequeños no alcanzan los umbrales. Si tu negocio no cumple ninguno de los tres criterios, técnicamente no estás obligado. Pero adoptar las buenas prácticas igualmente te conviene: generas confianza, te preparas para crecer y reduces fricción si en el futuro vendes a clientes de Estados Unidos.

Verifica los umbrales exactos en el texto vigente: las cifras se ajustan periódicamente y un abogado de privacidad puede confirmar si tu caso aplica.

Los derechos del consumidor

La CCPA, reforzada por la CPRA, otorga a los residentes de California un conjunto de derechos sobre sus datos. Conócelos, porque definen qué flujos debe ofrecer tu sitio:

• Derecho a saber: el consumidor puede pedir qué información personal recopilas, de dónde la obtienes, para qué la usas y con quién la compartes.
• Derecho a borrar (delete): puede solicitar que elimines la información que tienes sobre él, con algunas excepciones legales.
• Derecho a corregir: introducido por la CPRA, permite pedir que rectifiques datos inexactos.
• Derecho a opt-out de la venta o compartición: puede indicarte que no vendas ni compartas su información personal con terceros (típicamente, para publicidad dirigida).
• Derecho a limitar el uso de información sensible: puede restringir cómo usas categorías sensibles de datos.
• Derecho a no discriminación: no puedes negarle el servicio, cobrarle más ni darle peor calidad por haber ejercido sus derechos.

Una frase clave: en la CCPA, "vender" y "compartir" tienen un sentido amplio. No se refiere solo a vender una lista de correos por dinero. Si insertas píxeles de publicidad o cookies de terceros que transfieren datos de tus visitantes a redes de anuncios, eso puede considerarse "venta" o "compartición" aunque no recibas un pago directo. Por eso el siguiente punto es central.

El enlace "Do Not Sell or Share My Personal Information"

Si tu negocio vende o comparte datos personales, la ley exige ofrecer una forma clara y visible de que el consumidor se oponga. En la práctica, esto se materializa en un enlace en tu sitio con un texto como:

• "Do Not Sell or Share My Personal Information" (No vender ni compartir mi información personal), o
• "Your Privacy Choices" (Tus opciones de privacidad), a veces acompañado de un ícono estándar.

Ese enlace suele ir en el pie de página, accesible desde cualquier parte del sitio, y debe llevar a un mecanismo real para ejercer el opt-out, no a un texto decorativo. Además, la regulación reconoce señales automáticas de preferencia de privacidad como el GPC (Global Privacy Control), que el navegador envía y que tu sitio debería respetar.

Punto honesto: si no vendes ni compartes datos en el sentido de la ley, no necesitas inventarte el enlace. Pero entonces tu aviso de privacidad debería decir con claridad que no lo haces. Lo importante es que tu sitio y tu texto digan la verdad sobre lo que ocurre con los datos.

El rol de la CPPA y de la FTC

Dos actores vigilan este terreno:

• La CPPA (California Privacy Protection Agency) es la agencia estatal creada por la CPRA. Tiene poder para emitir regulaciones, investigar y sancionar el incumplimiento de la CCPA/CPRA. La fiscalía estatal (Attorney General) también puede actuar.
• La FTC (Federal Trade Commission) es la autoridad federal de protección al consumidor en todo Estados Unidos. No aplica la CCPA en sí, pero persigue prácticas desleales o engañosas: si tu aviso de privacidad promete una cosa y tu sitio hace otra, la FTC puede intervenir bajo sus propias facultades.

La lección práctica: la coherencia entre lo que dices y lo que haces no es solo cuestión de la ley de California. A nivel federal, prometer y no cumplir ya es un riesgo.

Más allá de California: el mapa estatal

California abrió el camino, pero hoy muchos estados tienen su propia ley de privacidad de datos. Algunas de las más citadas:

• Virginia (VCDPA): Virginia Consumer Data Protection Act.
• Colorado (CPA): Colorado Privacy Act.
• Connecticut, Utah, Texas, Oregon y un número creciente de estados con leyes propias.

La buena noticia es que comparten una base común: avisos de privacidad transparentes, derechos de acceso, corrección y borrado, y mecanismos de opt-out. Si construyes tu sitio para cumplir el estándar más exigente (normalmente, el de California), cubres gran parte de lo que piden los demás. No persigas cada ley por separado; adopta buenas prácticas y documenta lo que haces.

La conexión con la seguridad técnica

La privacidad de datos no vive solo en un documento legal: vive en cómo está construido tu sitio. Hay señales técnicas y observables que cualquiera (incluido un regulador, un cliente o un atacante) puede comprobar desde fuera:

• Cifrado en tránsito (TLS/HTTPS): si tu sitio pide datos por un formulario sin HTTPS válido, esos datos viajan expuestos. Un certificado caducado o una configuración débil contradice cualquier promesa de "protegemos tu información".
• Cookies y rastreadores de terceros: los píxeles de publicidad y las cookies de marketing son justo lo que la CCPA considera "compartición". Saber qué rastreadores carga tu sitio es el primer paso para declararlos y, si corresponde, permitir el opt-out.
• Banners de consentimiento: un banner bien hecho informa y deja elegir; uno mal hecho da una falsa sensación de cumplimiento. La señal técnica importa: ¿realmente se bloquean los rastreadores hasta que el usuario acepta?
• Cabeceras de seguridad: encabezados como Strict-Transport-Security o Content-Security-Policy reducen el riesgo de fugas y ataques que terminarían comprometiendo datos personales.

Aquí es donde una herramienta como Pursecure te ayuda: pegas la URL de tu sitio y, en minutos, recibes un puntaje de 0 a 100 con los problemas ordenados por gravedad y el detalle de cómo arreglar cada uno, ya sea que lo hagas tú, tu equipo o tu IA con el prompt listo. No reemplaza a un abogado, pero te muestra la mitad técnica del cumplimiento que casi nadie revisa. Puedes escanear tu sitio gratis en pursecure.app.

Qué revisar en tu sitio hoy

Una lista accionable que puedes recorrer sin ser técnico ni abogado:

• ¿Aplica la CCPA a tu negocio? Revisa los tres umbrales (ingresos, volumen de datos, ingresos por venta de datos) contra el texto vigente.
• ¿Tienes un aviso de privacidad que explique qué datos recoges, para qué y con quién los compartes, y que esté actualizado?
• ¿Tu aviso dice la verdad? Si no vendes datos, dilo. Si usas píxeles de publicidad, decláralo.
• ¿Ofreces el enlace "Do Not Sell or Share" o "Your Privacy Choices" si vendes o compartes datos, visible desde el pie de página?
• ¿Respetas la señal GPC que envían algunos navegadores?
• ¿Hay una forma clara de ejercer derechos (saber, borrar, corregir): un correo, un formulario, una dirección?
• ¿Tu sitio carga por HTTPS con un certificado TLS válido y vigente en todas sus páginas?
• ¿Sabes qué cookies y rastreadores de terceros carga tu sitio? ¿Tu banner de consentimiento realmente controla cuándo se activan?
• ¿Tienes inventariados tus proveedores (analítica, email, pasarela de pago) y lo que cada uno hace con los datos?

Conclusión

La CCPA y la CPRA convirtieron la privacidad de datos en Estados Unidos en algo que cualquier dueño de sitio debe entender, aunque no esté en California. Lo esencial no es memorizar artículos: es ser honesto sobre qué datos recoges, dar a las personas control real sobre ellos y respaldar esa promesa con un sitio técnicamente seguro.

La parte legal la afina un abogado; la parte técnica observable la puedes empezar a revisar hoy mismo. Escanea tu sitio gratis en pursecure.app y descubre en minutos si tu HTTPS, tus cookies y tus cabeceras están a la altura de lo que tu aviso de privacidad promete.