Leyes de privacidad estatales: Nuevas regulaciones y enmiendas en EE. UU. en 2026

El panorama de la privacidad de datos en Estados Unidos está experimentando una transformación sin precedentes a principios de 2026, con una oleada de nuevas Leyes de privacidad estatales que entran en vigor y enmiendas significativas a las existentes. Esta evolución crea un complejo entramado regulatorio para las empresas que operan en múltiples jurisdicciones, demandando una comprensión profunda y una adaptación proactiva para evitar riesgos de cumplimiento y proteger la confianza del consumidor. Lejos de unificar el marco bajo una ley federal, la tendencia actual es hacia una creciente fragmentación, con cada estado delineando sus propias normativas, derechos y obligaciones.

La Proliferación de Nuevas Leyes de Privacidad Estatales en 2026

El año 2026 marca un punto de inflexión con la implementación de varias Leyes de privacidad estatales integrales, elevando el número de estados con marcos regulatorios robustos a veinte o veintiuno, dependiendo de cómo se contabilicen algunas leyes específicas.

Indiana, Kentucky y Rhode Island: Pioneros del 1 de enero de 2026

Desde el 1 de enero de 2026, Indiana, Kentucky y Rhode Island han implementado sus propias leyes integrales de privacidad del consumidor: la Ley de Protección de Datos del Consumidor de Indiana (INCDPA), la Ley de Protección de Datos del Consumidor de Kentucky (KCDPA) y la Ley de Transparencia y Protección de la Privacidad de Datos de Rhode Island (RIDTPA), respectivamente.

• La INCDPA de Indiana y la KCDPA de Kentucky aplican a empresas que controlan o procesan datos personales de al menos 100,000 consumidores, o de 25,000 consumidores si más del 50% de sus ingresos brutos provienen de la venta de datos personales. Estas leyes otorgan a los consumidores derechos fundamentales como acceder, corregir, eliminar y obtener copias de sus datos personales, así como el derecho a optar por no participar en la publicidad dirigida, la venta de datos personales y ciertos tipos de elaboración de perfiles. Ambas incluyen un período de subsanación de 30 días para las violaciones, con multas de hasta $7,500 por infracción, y la autoridad de aplicación recae exclusivamente en el Fiscal General del estado. Además, requieren evaluaciones de impacto de protección de datos (DPIA) para actividades de procesamiento de alto riesgo.
• La RIDTPA de Rhode Island presenta umbrales de aplicabilidad más bajos, cubriendo a entidades que procesan información personal de 35,000 o más residentes de Rhode Island, o de 10,000 o más si derivan más del 20% de sus ingresos brutos de la venta de información personal. A diferencia de Indiana y Kentucky, la ley de Rhode Island no contempla un período de subsanación, lo que implica una aplicación inmediata y multas que pueden alcanzar los $10,000 por violación. Sin embargo, también carece de la obligación de reconocer mecanismos universales de exclusión voluntaria como el Control Global de Privacidad (GPC).

Oklahoma y Arkansas se unen a la lista

Oklahoma promulgó una ley integral de privacidad el 20 de marzo de 2026, que entrará en vigor el 1 de enero de 2027. Esta ley se alinea con el modelo de Virginia y Tennessee, con un enfoque “favorable a las empresas”, incluyendo una definición más estrecha de “venta” de datos personales y un derecho obligatorio a subsanar violaciones. Los umbrales de aplicación son similares a los de Indiana y Kentucky: control o procesamiento de datos de al menos 100,000 consumidores, o de 25,000 si más del 50% de los ingresos brutos provienen de la venta de datos. La ley de Oklahoma también enfatiza la minimización de datos, requiriendo que los controladores limiten la recopilación a lo “adecuado, relevante y razonablemente necesario” para los fines divulgados.

Por otro lado, Arkansas introdujo la Ley de Protección de la Privacidad en Línea de Niños y Adolescentes (Arkansas Children and Teens’ Online Privacy Protection Act), que se hará efectiva el 1 de julio de 2026. Esta ley amplía las protecciones de privacidad a adolescentes de 13 a 16 años, siguiendo el modelo de la Children’s Online Privacy Protection Act (COPPA) federal y una propuesta federal conocida como “COPPA 2.0”. Prohíbe la recopilación de información personal de niños y adolescentes para publicidad dirigida sin el consentimiento adecuado, e impone requisitos de minimización de datos.

Enmiendas Significativas y un Alcance en Expansión

Más allá de las nuevas leyes, varias enmiendas a las legislaciones existentes en 2026 intensifican aún más el panorama de cumplimiento.

• Connecticut y Oregón: Ambas estados expanden sus requisitos para el reconocimiento de señales universales de exclusión voluntaria, como el Control Global de Privacidad (GPC). Connecticut, además, reduce sus umbrales de aplicación de 100,000 a 35,000 consumidores, abarcando a más empresas. Oregón también impone restricciones sobre la geolocalización precisa, prohibiendo su venta y la publicidad dirigida a adolescentes basada en ella.
• California: Sus nuevas regulaciones para la tecnología de toma de decisiones automatizadas, las evaluaciones de riesgo y las auditorías de ciberseguridad entraron en vigor a principios de 2026. La “Delete Act” de California, que permite a los consumidores solicitar la eliminación de sus datos de múltiples corredores de datos a través de una única solicitud, también se implementa, con la plataforma de solicitud de eliminación lanzada en enero de 2026 y requisitos de eliminación regulares para los corredores de datos a partir de enero de 2028.
• Utah: A partir de julio de 2026, Utah añade un derecho de corrección y requisitos relacionados con la portabilidad e interoperabilidad de datos de redes sociales.
• Colorado: Elimina por completo su período de subsanación para ciertas violaciones, lo que subraya un clima de cumplimiento más estricto.

Enfoques Regulatorios Emergentes y Detalles Técnicos

El impulso regulatorio en 2026 destaca varias áreas clave de enfoque:

Reconocimiento del Control Global de Privacidad (GPC)

El GPC es una configuración del navegador que permite a los usuarios enviar automáticamente señales de exclusión voluntaria a los sitios web, indicando que no desean que sus datos sean vendidos o compartidos. Estados como California, Colorado, Connecticut, Oregón y Nuevo Hampshire ahora exigen a las empresas que reconozcan y respeten estas señales universales de exclusión. Esto representa un cambio técnico importante para las empresas, que deben integrar mecanismos para detectar y responder al GPC. Aunque su adopción actual es limitada (alrededor del 1% de la población de EE. UU. tiene una señal GPC activa), la obligación recae en las empresas de procesarla correctamente una vez emitida. Es importante señalar que las leyes de Indiana, Kentucky y Rhode Island no incluyen un requisito para reconocer el GPC.

Minimización de Datos

El principio de minimización de datos exige que las empresas limiten la recopilación de información personal a lo que es estrictamente necesario para los fines divulgados. Esto reduce la huella de datos de una organización, disminuyendo el riesgo en caso de una violación y simplificando el cumplimiento. La Ley de Oklahoma y la Ley de Protección de la Privacidad en Línea de Niños y Adolescentes de Arkansas incluyen requisitos explícitos de minimización de datos.

Datos de Menores y Protecciones Reforzadas

La protección de los datos de los menores se ha convertido en una prioridad regulatoria. La ley de Arkansas, inspirada en COPPA 2.0, es un claro ejemplo, extendiendo las protecciones de privacidad a los adolescentes de 13 a 16 años, más allá de la cobertura de la COPPA federal que se limita a menores de 13 años. Esta ley prohíbe la recopilación de información personal de niños y adolescentes para publicidad dirigida sin el consentimiento apropiado y exige prácticas de seguridad razonables para proteger esta información. Otros estados también están implementando requisitos de códigos de diseño apropiados para la edad y restricciones en la venta y uso de datos de menores.

Toma de Decisiones Automatizada y Elaboración de Perfiles

Con el auge de la inteligencia artificial y el aprendizaje automático, las regulaciones están poniendo un énfasis creciente en la toma de decisiones automatizada que produce efectos legales o significativos para los consumidores. Las leyes, como las de California, exigen evaluaciones de riesgo cuando se utiliza esta tecnología y otorgan a los consumidores el derecho a optar por no ser objeto de decisiones que “sustituyan o sustituyan sustancialmente la toma de decisiones humana”. Esto implica la necesidad de supervisión humana, transparencia en la lógica aplicada y la capacidad de impugnar o corregir las decisiones generadas por algoritmos.

Transparencia de los Corredores de Datos

La California Delete Act es un hito en la regulación de los corredores de datos. Estas entidades, cuyo negocio principal es vender información sobre consumidores, a menudo operan en la opacidad. La nueva ley exige un mecanismo centralizado para que los consumidores puedan solicitar, con una única petición verificable, que cada corredor de datos registrado en California elimine su información personal. Los corredores deberán suprimir la información al menos una vez cada 45 días a partir de enero de 2028.

Definición de Datos Sensibles y Consentimiento Explícito

Las nuevas leyes y enmiendas refuerzan la protección de los datos considerados “sensibles”. Para el procesamiento de esta categoría de datos, se requiere el consentimiento afirmativo (opt-in) del consumidor. La definición de datos sensibles varía ligeramente, pero generalmente incluye:

• Origen racial o étnico.
• Creencias religiosas.
• Diagnóstico de salud mental o física.
• Orientación sexual.
• Estado de ciudadanía o inmigración.
• Datos genéticos o biométricos procesados con el fin de identificar de forma única a un individuo.
• Datos de niños.
• Geolocalización precisa (específicamente en Rhode Island).

En particular, la legislatura de Kentucky también aprobó una enmienda a su ley de privacidad del consumidor para incluir el “reconocimiento automático de contenido” como dato sensible.

Implicaciones para las Empresas y el Desafío del Cumplimiento

La creciente complejidad del panorama de las Leyes de privacidad estatales en EE. UU. presenta desafíos significativos para las empresas. Con al menos 20 estados con leyes integrales de privacidad, las organizaciones deben navegar por un “mosaico” de requisitos a menudo superpuestos pero no idénticos. Esto exige:

• Mapeo de Datos Riguroso: Las empresas deben comprender qué leyes estatales les aplican en función de sus operaciones y base de consumidores.
• Políticas de Privacidad Detalladas y Avisos Actualizados: La transparencia es clave, y las políticas de privacidad deben ser claras, completas y fáciles de entender para los consumidores.
• Mecanismos de Gestión del Consentimiento: La obtención y gestión del consentimiento, especialmente para datos sensibles y publicidad dirigida, es fundamental.
• Implementación de Derechos del Consumidor: Las empresas deben establecer procesos robustos para manejar las solicitudes de los consumidores para acceder, corregir, eliminar u optar por no participar en el procesamiento de sus datos.
• Evaluaciones de Impacto de Protección de Datos (DPIA): Las DPIA son obligatorias para actividades de procesamiento de alto riesgo y son cruciales para identificar y mitigar posibles riesgos para la privacidad.
• Acuerdos con Proveedores de Servicios: Las obligaciones de los procesadores de datos deben estar claramente definidas en los contratos de los proveedores de servicios.
• Seguridad de Datos: Se requiere implementar y mantener prácticas de seguridad de datos razonables para proteger la información personal.

La falta de un período de subsanación en algunas leyes, como la de Rhode Island y Colorado (para ciertas violaciones), significa que el incumplimiento puede resultar en sanciones inmediatas. Además, la aplicación exclusiva por parte de los Fiscales Generales estatales, sin un derecho de acción privado en la mayoría de estas nuevas leyes, subraya la importancia de una supervisión regulatoria activa.

Mirando hacia el Futuro: ¿Hacia una Ley Federal?

A pesar de la creciente ola de Leyes de privacidad estatales, Estados Unidos sigue careciendo de una ley federal de privacidad integral. Iniciativas legislativas como la American Data Privacy and Protection Act (ADPPA) y la American Privacy Rights Act (APRA) se han estancado debido a desacuerdos sobre cuestiones clave como la preeminencia sobre las leyes estatales y los derechos de acción privados. Mientras tanto, los estados continúan llenando este vacío regulatorio, lo que lleva a un entorno cada vez más fragmentado y complejo para las empresas que operan a nivel nacional. La presión por una ley federal podría aumentar a medida que la disparidad de las regulaciones estatales se vuelve insostenible, pero por ahora, la adaptabilidad y el conocimiento detallado de cada jurisdicción son esenciales para cualquier organización que maneje datos de consumidores en EE. UU.

Conclusión

El año 2026 representa un hito crucial en la evolución de las Leyes de privacidad estatales en Estados Unidos. La entrada en vigor de nuevas legislaciones en Indiana, Kentucky, Rhode Island y Oklahoma, junto con enmiendas significativas en Connecticut, Oregón, California y Utah, subraya una tendencia clara hacia una mayor protección de los derechos del consumidor y una mayor responsabilidad corporativa. Desde el reconocimiento del GPC y la minimización de datos hasta las protecciones específicas para menores y la transparencia de los corredores de datos, las empresas deben adoptar un enfoque proactivo y estratégico para garantizar el cumplimiento. Aquellas organizaciones que inviertan en programas de privacidad sólidos y adaptables estarán mejor posicionadas para navegar este complejo panorama regulatorio, mitigar riesgos y construir una relación de confianza duradera con sus consumidores en la era digital.