Inicio ' Recursos ' Artículos ' El derecho de acción privada de la CCPA...

El derecho de acción privada de la CCPA se simplifica para las empresas

Por: Ali Talip Pınarbaşı, CIPP/E, & LLM Ali Talip Pınarbaşı, CIPP/E, & LLM | Updated on: January 15, 2026

CCPA-Derecho de acción privado-simplificado-para-empresas-01

La Ley de Privacidad del Consumidor de California (CCPA) es una ley de privacidad de datos promulgada en junio de 2018 por la legislatura estatal de California que otorga a los californianos el derecho a conocer, restringir y eliminar los datos que las empresas recopilan de ellos.

También permite un derecho de acción privado que otorga a los residentes de California el derecho a presentar demandas privadas contra empresas negligentes.

A continuación, le enseño cómo la CCPA permite el derecho de acción privado para los consumidores de California y cómo afecta a las empresas.

Índice
  1. ¿Qué es el derecho de acción privada?
  2. ¿Quién está amparado por el derecho de acción privada de la CCPA?
  3. Infracciones que pueden dar lugar a una acción privada
  4. Daños y perjuicios contemplados en la CCPA
  5. Cómo evitar demandas privadas en virtud de la CCPA

¿Qué es el derecho de acción privada?

El derecho de acción privada se define como el derecho de un particular a presentar una demanda para proteger sus derechos ante la ley.

Este derecho tiene dos componentes: el privado y el de acción:

  • Privado: El significado de "privado" en el contexto de un derecho de acción privado es un derecho que pertenece a una persona privada. No incluye a un gobierno, ya sea estatal, local o federal.
  • Acción: El significado de "acción" en el contexto de un derecho de acción privado es el acto de hacer valer los propios derechos legales. En otras palabras, se refiere a la interposición de una demanda ante los tribunales para proteger los propios derechos legales.

¿Cómo incorpora la CCPA el derecho de acción privada?

Los californianos tienen los siguientes derechos en virtud de la CCPA:

  • Derecho de divulgación: Un consumidor tiene derecho a solicitar que una empresa revele qué información personal ha recopilado del individuo.
  • Derecho de supresión: Un consumidor tiene derecho a solicitar que la empresa elimine cualquier información personal que haya recopilado.
  • Derecho de exclusión: Un consumidor tiene derecho a solicitar que una empresa no venda la información personal que ha recopilado sobre él.
  • Derecho a la no discriminación: Un consumidor tiene derecho a no ser discriminado por las empresas por ejercer sus derechos en virtud de la CCPA.
  • Derecho de acción privada: La CCPA establece además que si un consumidor considera que una empresa ha vulnerado sus derechos, "podrá entablar una acción civil."

¿Quién está amparado por el derecho de acción privada de la CCPA?

El derecho de acción privado de la CCPA permite a los consumidores iniciar una demanda contra una empresa que haya infringido la CCPA ante los tribunales del estado de California.

Consumidores

Los consumidores de California pueden ahora iniciar acciones civiles contra las empresas que vulneren sus derechos en virtud de la CCPA. La definición de consumidor en este contexto concreto es "una persona física que reside en California".

Persona física significa que la definición de "consumidor" no incluye a las empresas. Por lo tanto, sólo los residentes individuales de California pueden interponer una demanda civil en virtud de la CCPA.

La CCPA adoptó la definición de residente del Código de Reglamentos de California. En ella se establece que son residentes en California las personas que residen en California con un propósito que no sea temporal o transitorio y las personas domiciliadas en California pero que viven en otro estado con fines temporales o transitorios.

Por último, en virtud del derecho de acción privado de la CCPA, los consumidores no tienen derecho a demandar a otros consumidores, sólo a las empresas.

de Empresas

Si una empresa cumple los siguientes requisitos, debe atenerse a la CCPA:

  • Es una empresa que opera con ánimo de lucro.
  • Tiene su sede en California.
  • Recopila (o ha recopilado) la información personal de sus consumidores.
  • Se encarga de determinar la finalidad y los medios del tratamiento de la información personal recogida.
  • Cumple uno de los siguientes requisitos:
    • Sus ingresos brutos anuales superan los 25 millones de dólares.
    • Compra, recibe con fines comerciales, vende o comparte la información personal de al menos 50.000 consumidores, hogares o dispositivos cada año.
    • Más de la mitad de sus ingresos anuales proceden de la venta de información personal de sus consumidores.

Infracciones que pueden dar lugar a una acción privada

El derecho de acción privada de la CCPA sólo se aplica a las violaciones de datos.

Un consumidor puede interponer una demanda civil contra una empresa si se cumplen todos los requisitos siguientes:

  1. El nombre no cifrado o no suprimido del individuo u otros elementos de datos enumerados han sido objeto de acceso no autorizado, exfiltración, robo o divulgación.
  2. Este acceso, exfiltración, robo o divulgación no autorizados se produjeron como consecuencia del incumplimiento por parte de la empresa de la obligación de aplicar y mantener procedimientos y prácticas de seguridad razonables y adecuados a la naturaleza de la información para proteger los datos personales.
  3. Antes de presentar una demanda, el particular debe notificar por escrito a la empresa con 30 días de antelación para subsanar la presunta infracción.

En las secciones siguientes se definirán con más detalle estos elementos.

La información personal debe verse afectada

Los consumidores afectados pueden interponer una demanda privada contra usted si su empresa se ve implicada en una violación de sus datos personales y usted no mantuvo los procedimientos de seguridad adecuados,

Sin embargo, la CCPA define la "información personal" de forma más estricta en lo que respecta al derecho de acción privada.

En pocas palabras, la CCPA utiliza la definición de información personal del artículo 1798.81.5(d)(1)(A) de la Ley de Registros de Clientes de California a efectos del derecho de acción privada. Según esta Ley, la información personal puede desglosarse en dos categorías distintas.

Categoría 1
  • El nombre o la inicial del nombre y los apellidos de la persona y su combinación con uno de los siguientes elementos de datos:
    • Número de la seguridad social
    • Documentos gubernamentales con números de identificación únicos como:
      • Número del permiso de conducir
      • Número de la tarjeta de identificación del Estado de California
      •   Número de identificación fiscal
      • Número de pasaporte
      • Número de identificación militar
    • Número de cuenta o de tarjeta de crédito o débito junto con su código de seguridad o de acceso o contraseña que daría acceso a las cuentas bancarias u otras cuentas financieras de una persona.
    • Información médica
    • Información sobre el seguro de enfermedad
    • Datos biométricos
    • Datos genéticos
Categoría 2
  • Un nombre de usuario o dirección de correo electrónico en combinación con una contraseña o pregunta y respuesta de seguridad que permita acceder a una cuenta en línea.

Además, si el nombre de una persona o uno de los elementos de datos enumerados no está codificado o redactado, estos datos se considerarán "información personal" en el contexto del derecho de acción privada en virtud de la CCPA.

Esta definición de información personal también tiene algunas advertencias y explicaciones que debe conocer:

  • Los datos biométricos incluyen una huella dactilar, un escáner de retina o una imagen del iris utilizados para identificar a una persona. No incluye la fotografía de una persona, a menos que se utilice para el reconocimiento facial.
  • Por información médica se entiende cualquier dato identificable sobre el historial médico, el tratamiento o el diagnóstico de una persona, ya sea en papel o en formato digital.
  • La información sobre el seguro médico incluye el número de póliza de seguro de la persona o el número de identificación del abonado, un identificador único utilizado por la compañía de seguros para identificar a la persona o cualquier información que figure en la solicitud de seguro de una persona, y el historial de reclamaciones.
  • Los datos genéticos incluyen cualquier dato sobre los resultados de un análisis de la muestra biológica de un individuo y se refieren al material genético. Son ejemplos de material genético el ADN, el ARN, los genes, los cromosomas y las modificaciones del ADN o el ARN.

Cualquier información personal que se haya hecho pública legalmente a partir de registros de la administración federal, estatal o local no se incluye en la definición de información personal utilizada para entablar una acción privada CCPA contra usted.

La información personal debe estar sujeta a Acceso no autorizado y Exfiltración, Robo o Divulgación

Una violación de datos tiene dos componentes:

  1. Acceso no autorizado
  2. Exfiltración, robo o divulgación

Acceso no autorizado

El acceso no autorizado se refiere a cualquiera que acceda a la información de un consumidor sin permiso. Por ejemplo, si sus controles de seguridad no son adecuados o no existen, un pirata informático (que por definición no tiene acceso autorizado) puede acceder a la información personal del consumidor y robarla.

Del mismo modo, un empleado de su empresa también puede acceder a la información personal de sus consumidores sin permiso (acceso no autorizado) y divulgarla posteriormente a sus competidores o a otros lugares.

Debe preocuparse por los actores externos e internos que pueden implicar a su empresa en una demanda de la CCPA.

Exfiltración, robo o divulgación

La exfiltración, robo o divulgación se refiere a que los datos de acceso se retiran, roban o comparten (sin el consentimiento del usuario).

La violación de los datos debe producirse porque la empresa no ha aplicado y mantenido procedimientos y prácticas de seguridad razonables.

Recuerde que un consumidor sólo puede iniciar una acción privada por violación de datos si usted no aplica y mantiene procedimientos y prácticas de seguridad razonables.

La CCPA no define "procedimientos y prácticas de seguridad razonables". Por lo tanto, debe evaluar las operaciones de su empresa y calcular las medidas de seguridad adecuadas para proteger la información personal de los consumidores.

Puede ser beneficioso contratar a una empresa consultora o de seguridad informática para que le ayude a implantar controles y procedimientos de seguridad en su empresa.

Los particulares deben dar a las empresas un plazo de 30 días para subsanar la presunta infracción

La CCPA permite a una empresa "notificar y subsanar" cualquier infracción y evitar sanciones.

Antes de que un consumidor inicie una demanda contra la empresa, debe notificar a la empresa la disposición de la CCPA que el consumidor acusa a la empresa de infringir. La empresa dispone entonces de 30 días para rectificar la situación.

Si la empresa puede subsanar la situación, no se interpondrá ninguna acción contra ella. Es importante señalar que esta notificación no es necesaria si el consumidor ha sufrido un perjuicio económico.

Durante ese periodo, la empresa debe proporcionar al consumidor una declaración expresa por escrito en la que se explique que la infracción ha sido subsanada y que no se producirán otras infracciones.

Si no se adopta ninguna medida en el plazo de subsanación de 30 días o la empresa incumple la declaración escrita, la empresa estará infringiendo la CCPA.

Daños y perjuicios contemplados en la CCPA

Cuando una empresa viola los derechos de privacidad de los datos de un consumidor en virtud de la CCPA, es responsable de pagar daños y perjuicios.

Un consumidor puede interponer una demanda para recuperar los daños reales o legales.

  • Los daños reales se refieren a las pérdidas reales que sufren los consumidores debido a la violación de datos por parte de una empresa.
  • Los daños legales oscilan entre 100 y 750 dólares por consumidor y por incidente.

La empresa será responsable del pago de los daños y perjuicios reales o legales, según cuál sea el importe más elevado.

El tribunal determina los daños legales de la CCPA teniendo en cuenta lo siguiente:

  • Naturaleza y gravedad de la infracción
  • Número de infracciones
  • Persistencia de las infracciones
  • Duración de la infracción
  • Premeditación de la falta cometida por la empresa
  • Activos, pasivos y patrimonio neto de la empresa

En virtud de la CCPA, una empresa puede enfrentarse a medidas cautelares o declarativas y a "cualquier otra medida que el tribunal considere adecuada".

Una empresa también puede enfrentarse a una orden judicial y a una acción civil interpuesta por el Fiscal General de California por violar la CCPA. Además, la empresa será responsable de un máximo de 2.500 dólares por infracción no intencionada o de 7.500 dólares por infracción intencionada.

Además, la CCPA establece un límite máximo a los daños y perjuicios que una empresa puede tener que pagar: La empresa será responsable de un máximo de 2.500 dólares por infracción no intencionada o de 7.500 dólares por infracción intencionada.

Cómo evitar demandas privadas en virtud de la CCPA

El proceso legal y los costes de defender una demanda de la CCPA pueden acumularse rápidamente, especialmente si se trata de una violación masiva de datos. Además, la imagen pública de su empresa se resentirá con el anuncio de una violación de datos y la posterior demanda, especialmente si la cobertura mediática es amplia.

Evitar estas reclamaciones debería ser prioritario en las operaciones de su empresa, porque remodelar la imagen de su empresa y reconstruir sus controles de seguridad será muy costoso.

Implantar controles de protección de datos y seguridad es la forma más fácil de evitar una infracción.

Debe tener en cuenta que la CCPA no enumera medidas de seguridad apropiadas específicas que las empresas deban aplicar. Sin embargo, las empresas no carecen de orientación sobre las "prácticas de seguridad razonables" que deberían considerar aplicar.

Por ejemplo, el Informe sobre la violación de datos de 2016 del Fiscal General de California hace referencia a 20 controles de seguridad críticos recomendados por el Centro para la Seguridad en Internet. En este informe, el Fiscal General hace hincapié en que el hecho de no aplicar estas medidas de seguridad probablemente equivaldrá a no aplicar medidas de seguridad razonables.

Estos controles incluyen "Configuración segura de activos y software de la empresa" y "Gestión del control de acceso".

Además de estos controles, su empresa debería considerar las siguientes medidas y prácticas para evitar reclamaciones en relación con la CCPA:

  • Gestionar y controlar el acceso a las cuentas
  • Proteger los datos
  • Implantar sistemas de seguridad y defensa de la red
  • Establecer medidas de copia de seguridad y recuperación de datos
  • Establecer la protección contra el malware

Aplicar el cifrado y la redacción de datos a toda la información personal puede dejar esta información fuera de la aplicación del derecho de acción privado de la CCPA. Esto puede garantizar que usted no esté sujeto a demandas por violación de datos en virtud de la CCPA.

El derecho de acción privado de la CCPA sólo se aplica a la información personal que no está cifrada ni suprimida. Si toda la información está cifrada, no entra en la definición de información personal.

La CCPA concede a los residentes californianos un derecho de acción privado para demandar a las empresas que vulneren sus derechos.

Las empresas que prestan servicios a residentes californianos deben mantener un nivel suficiente de seguridad y protección de los datos de los consumidores que recopilan para evitar infracciones. En caso de infracción, las empresas pueden enfrentarse a demandas de los consumidores y a acciones civiles del Fiscal General del Estado de California.

Mantener la integridad y la protección de los datos es su principal preocupación como empresa para evitar la responsabilidad en virtud de la CCPA.

Ali Talip Pınarbaşı, CIPP/E, & LLM
Más sobre el autor

Escrito por Ali Talip Pınarbaşı, CIPP/E, & LLM

Ali es un abogado especializado en derecho de la privacidad de datos con sede en Londres y con un máster en derecho de la privacidad de la UE en el King's College de Londres. Cuenta con seis años de experiencia asesorando a empresas sobre cómo cumplir las leyes de protección de datos. Más sobre el autor
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Termly Le ayuda a cumplir la CCPA

Puede utilizar nuestra solución para generar una política de privacidad conforme a la CCPA en cuestión de MINUTOS.
Construir la política de privacidad de la CCPA

Artículos Relacionados

  1. Política de privacidad para anuncios de Facebook-01
    Política de privacidad para anuncios de Facebook: cómo crear una
    Artículos

    19 de diciembre de 2025
    Natasha Piirainen
  2. Política de privacidad para React 01
    Política de privacidad para React: cómo crear una
    Artículos

    19 de diciembre de 2025
    Natasha Piirainen
  3. Política de privacidad para Next.js 01
    Política de privacidad para Next.js: cómo crear una
    Artículos

    18 de diciembre de 2025
    Natasha Piirainen
  4. 9-Tipos-de-datos-más-comúnmente-recogidos-01
    Los 9 tipos de datos más recopilados y lo que debes saber sobre ellos
    Artículos

    16 de diciembre de 2025
    Natasha Piirainen
  5. Las 7 violaciones más comunes de la privacidad de los datos-01
    Las 7 infracciones más comunes en materia de privacidad de datos y cómo evitarlas
    Artículos

    15 de diciembre de 2025
    Natasha Piirainen
  6. Política de privacidad para TikTok Shop 01
    Política de privacidad para TikTok Shop: cómo crear una
    Artículos

    15 de diciembre de 2025
    Hanna De La Garza
  7. Los 10 conceptos erróneos másrgpd sobre el RGPD-01
    Los 10 rgpd más comunes sobre rgpd y la verdad que se esconde tras ellos
    Artículos

    10 de diciembre de 2025
    Natasha Piirainen
  8. Respuestas positivas frente a negativas al DSAR-01
    Respuestas adecuadas e inadecuadas a las solicitudes de acceso a datos personales: cómo se reconocen
    Recursos

    9 de diciembre de 2025
    Hanna De La Garza
  9. Política de privacidad para una empresa SaaS 01
    Política de privacidad para una empresa SaaS: cómo crear una
    Artículos

    4 de diciembre de 2025
    Hanna De La Garza

Explore más recursos