El mosaico de leyes de privacidad estatales en EE.UU. ya cubre la mitad del país — y a las empresas se les acaba el tiempo para adaptarse

Cuando la California Consumer Privacy Act (CCPA) entró en vigor en enero de 2020, fue la primera ley integral de privacidad de datos del consumidor en Estados Unidos — y muchos asumieron que pronto le seguiría una legislación federal que crearía un estándar nacional uniforme. Seis años después, la legislación federal de privacidad sigue estancada. Lo que ha surgido en su lugar es un mosaico estado por estado que ahora cubre la mayoría de la población estadounidense, con diferencias sustanciales en derechos, aplicación y umbrales de aplicabilidad que han convertido el cumplimiento de la privacidad en un desafío operativo significativo.

Dónde está el mosaico

Para 2026, las leyes estatales integrales de privacidad están en vigor o a punto de entrar en vigor en más de 20 estados, incluidos California (CCPA/CPRA), Virginia, Colorado, Connecticut, Utah, Texas, Oregón, Montana, Indiana, Tennessee, Iowa, Florida, Delaware, Nuevo Hampshire, Nueva Jersey, Kentucky, Maryland, Nebraska, Minnesota, Rhode Island y varios otros que han aprobado leyes con fechas de vigencia futuras.

Las leyes comparten una arquitectura común tomada del GDPR: los consumidores tienen derecho a saber qué datos se recopilan sobre ellos, derecho a eliminarlos, derecho a optar por no participar en la venta de sus datos y derecho a corregir datos inexactos. Pero los detalles varían significativamente entre estados de maneras que importan para los programas de cumplimiento.

Los umbrales de aplicabilidad varían ampliamente. La CPRA de California se aplica a empresas con ingresos brutos anuales superiores a $25M, que procesen datos de 100,000+ consumidores, o que obtengan el 50% de sus ingresos de la venta de datos. La TDPSA de Texas se aplica a cualquier negocio que procese datos de residentes de Texas, sin umbral de ingresos — un alcance significativamente más amplio. La Oregon Consumer Privacy Act se aplica a empresas que procesan datos de 100,000+ consumidores de Oregón o que obtienen ingresos del procesamiento de datos de 25,000+ consumidores. Una empresa que no está sujeta a la ley de California podría estar completamente sujeta a las de Texas y Oregón.

El problema de la "venta"

Todas las leyes estatales de privacidad en EE.UU. otorgan a los consumidores el derecho a optar por no participar en la "venta" de sus datos personales, pero las definiciones estatales de "venta" divergen de maneras que afectan sustancialmente qué prácticas comerciales requieren mecanismos de exclusión voluntaria.

La CPRA de California define "compartir" por separado de "venta" para capturar la publicidad conductual incluso cuando no hay intercambio de dinero — una empresa que envía datos de usuarios a una red publicitaria que no paga por ellos sigue "compartiendo" según la definición de California, y los consumidores pueden optar por no participar. Muchos otros estados usan una definición más restringida vinculada a una contraprestación monetaria, lo que significa que los flujos de publicidad conductual que requieren exclusión en California no activan el requisito de exclusión en Virginia.

Esta divergencia pone a las empresas que operan a nivel nacional en una posición difícil. Calibrar los flujos de consentimiento según la definición amplia de California y aplicarlos a nivel nacional es operativamente más simple que flujos específicos por estado, pero puede ser más restrictivo de lo legalmente requerido en estados con definiciones más estrechas. Calibrar según los requisitos específicos de cada estado es más permisivo, pero requiere mantener lógica específica por estado en toda la pila de datos.

Los corredores de datos enfrentan presión específica

Los corredores de datos — empresas que recopilan y venden información personal de diversas fuentes — enfrentan una regulación estatal cada vez más específica más allá de los marcos generales de privacidad del consumidor. La Delete Act de California (SB 362), que entró en pleno vigor en 2026, exige que los corredores de datos registrados atiendan las solicitudes de eliminación enviadas a través de un portal único administrado por el estado, en lugar de requerir que los consumidores contacten a cada corredor individualmente. Texas, Oregón y varios otros estados han promulgado o están desarrollando requisitos similares de registro y exclusión para corredores de datos.

El efecto práctico es que los corredores de datos que antes se beneficiaban de la fricción de las solicitudes de eliminación por corredor ahora enfrentan mecanismos de eliminación consolidados que los consumidores pueden usar realmente. Los datos de la industria sugieren que los volúmenes de solicitudes de eliminación han aumentado sustancialmente desde que el mecanismo centralizado de California entró en funcionamiento — lo cual es el mecanismo funcionando como se esperaba, pero crea una carga operativa significativa para los corredores que necesitan procesar solicitudes en toda su pipeline de datos.

Datos sensibles: donde las reglas son más estrictas

Todas las leyes estatales de privacidad en EE.UU. tratan ciertas categorías de datos como "sensibles" e imponen requisitos más estrictos — típicamente consentimiento explícito en lugar de exclusión voluntaria. Las categorías incluyen ampliamente datos biométricos, datos de salud, geolocalización precisa, datos financieros, raza y origen étnico, creencias religiosas, orientación sexual y datos de menores. Pero las definiciones y requisitos específicos varían según el estado.

La geolocalización precisa es particularmente controvertida. California exige consentimiento explícito para recopilar "datos de geolocalización precisa" definidos como dentro de 1,850 pies (~550 metros). Texas usa un radio similar. Algunos estados no han especificado un radio, dejando el umbral ambiguo. Para las aplicaciones que usan funciones de ubicación — navegación, búsqueda local, clima, fitness — la pregunta de cumplimiento sobre si están recopilando geolocalización "precisa" depende de la ley de qué estado se aplica.

Qué resolvería y qué no resolvería una legislación federal

La American Privacy Rights Act (APRA) — el proyecto de ley de privacidad federal más reciente que ha ganado impulso significativo — prevalecería sobre las leyes estatales en muchas áreas, creando un piso nacional para los derechos del consumidor. Incluye requisitos de minimización de datos (solo puedes recopilar lo necesario para tu propósito declarado), derechos sólidos de exclusión para publicidad dirigida y un derecho privado de acción para que los consumidores demanden por violaciones.

Los opositores tanto de la industria (preocupados por el derecho privado de acción y los estrictos requisitos de minimización de datos) como de los defensores del consumidor (que quieren protecciones más fuertes de las que proporciona el proyecto federal) lo han estancado repetidamente. Es probable que el mosaico continúe expandiéndose al menos a corto plazo.

Cumplimiento práctico en un mosaico

Para las empresas que navegan el mosaico, el enfoque práctico que la mayoría de los programas de cumplimiento han adoptado es "máximo común denominador con calibración selectiva". Aplica el marco de California de manera amplia — generalmente es el más estricto y cubre la población más grande — y documenta dónde otros estados tienen requisitos específicos que difieren.

Las inversiones operativas que más consistentemente dan frutos son: un inventario integral de datos (no puedes cumplir con las solicitudes de derechos de datos si no sabes dónde están los datos), una plataforma de gestión de consentimiento que pueda ofrecer flujos de consentimiento apropiados para cada estado, un proceso para honrar las solicitudes de eliminación en toda la pipeline de datos (no solo la base de datos principal) y una base legal documentada para cada categoría de procesamiento de datos. Estas inversiones son valiosas independientemente de qué leyes estatales se apliquen y crean la base para manejar cualquier nuevo requisito que surja en el próximo ciclo legislativo.