Ley de Privacidad del Consumidor de Oregón: Primer vistazo y resumen

La Ley de Privacidad del Consumidor de Oregón (OCPA) ya está en vigor y es similar a otras leyes estatales estadounidenses existentes, pero difiere en que se aplica a algunas organizaciones sin ánimo de lucro.

A continuación, te enseño todo sobre la nueva ley de privacidad de Oregón, incluidas sus obligaciones para las empresas, los derechos de los consumidores, las sanciones por infringir la ley y mucho más.

¿Qué es la Ley de Privacidad del Consumidor de Oregón (OCPA)?

Originalmente Oregon Bill 619, la Ley de Privacidad del Consumidor de Oregón (OCPA) es una nueva ley aprobada en el estado norteamericano de Oregón.

Describe las obligaciones de recogida y tratamiento de datos personales de los consumidores de Oregón y les concede derechos y control sobre el uso que se hace de ellos.

También establece sanciones por infringir la ley.

Fecha de entrada en vigor de la OCPA

La mayoría de las partes de la OCPA entraron en vigor el 1 de julio de 2024, pero aquí hay otras fechas próximas importantes:

• Las disposiciones relativas a las organizaciones sin ánimo de lucro entran en vigor el 1 de julio de 2025,
• El requisito de que las entidades reconozcan las señales de preferencia de exclusión voluntaria a través de los navegadores de los usuarios será aplicable a partir del 1 de enero de 2026.
• El periodo de subsanación de 30 días de la OCPA también finaliza el 1 de enero de 2026.

Términos clave y definiciones de la OCPA

Para cumplir con la OCPA, debe entender algunos términos clave utilizados a lo largo de la ley, por lo que los he incluido exactamente como aparecen en la Sección 1 de la nueva ley de privacidad de datos de Oregón a continuación:

¿Qué cubre la Ley de Privacidad del Consumidor de Oregón?

La nueva ley de privacidad de datos de Oregón cubre la información personal de las personas físicas que residen en el estado, excepto la de cualquiera que actúe en un contexto comercial o laboral.

Una persona física en un contexto jurídico se refiere a un ser humano vivo, independientemente de su estatus de ciudadanía.

Requisitos de la Ley de Privacidad del Consumidor de Oregón

La OCPA esboza varios requisitos legales que deben cumplir todas las entidades amparadas por la ley, que expongo con más detalle en la siguiente sección.

Base jurídica para el tratamiento de datos personales

Según el artículo 5 de la OCPA, las entidades sólo pueden tratar información personal que sea "adecuada, pertinente y razonablemente necesaria" para los fines descritos en su aviso de privacidad.

No obstante, ninguna disposición de la ley prohíbe a los responsables o encargados del tratamiento:

• Prevenir, detectar, responder e investigar las amenazas a la ciberseguridad, como el robo de identidad, el fraude, el acoso u otras actividades ilegales.
• Identificación de errores técnicos en los sistemas de información que merman su funcionalidad.
• Realización de investigaciones internas para desarrollar nuevos servicios o tecnologías
• Investigar el establecimiento, inicio o defensa de reclamaciones legales
• Realizar operaciones internas que se ajusten razonablemente a las expectativas de los consumidores, que el consumidor puede anticipar basándose en su relación existente con el responsable del tratamiento.

Tampoco prohíbe a los responsables o encargados del tratamiento cumplir las leyes estatales o federales.

Consentimiento

Para tratar datos personales que quedan fuera del ámbito de lo que se considera razonablemente necesario, las entidades deben obtener el consentimiento activo y expreso de los consumidores.

Las mismas directrices de consentimiento se aplican si desea recopilar y procesar cualquier información sensible.

La OCPA describe claramente lo que es y lo que no es consentimiento en el artículo 1 de la ley:

• El consumidor necesita proporcionar una acción clara y afirmativa
• El consentimiento debe ser inequívoco e informado
• El mecanismo de consentimiento no puede oscurecer, subvertir o perjudicar su toma de decisiones.
• Debe proporcionar una forma fácil y similar de retirar su consentimiento en cualquier momento.

La inacción del consumidor no constituye consentimiento.

También debe obtener el consentimiento activo de un tutor legal para procesar datos de niños menores de trece años, incluso para publicidad dirigida o la venta de su información.

Datos personales y obligaciones de seguridad

Otro de los requisitos que establece la OCPA es la protección adecuada de la integridad, confidencialidad y seguridad de los datos personales recogidos, tal y como se describe en la sección 5, parte 1 (c).

En concreto, los responsables del tratamiento de datos en virtud de esta ley deben establecer, aplicar y mantener prácticas de seguridad que cumplan las normas descritas en el capítulo 646A.622 de la Ley Revisada de Oregón.

Esboza las salvaguardias administrativas, organizativas y físicas que debe aplicar a la información personal de los consumidores para mantenerla a salvo de accesos no autorizados o infracciones.

Obligaciones contractuales con terceros encargados del tratamiento

Los responsables y encargados del tratamiento deben firmar contratos legales con directrices y cláusulas específicas.

La ley explica que nada de lo dispuesto en el artículo 6 exime al responsable o al encargado del tratamiento de las responsabilidades derivadas de los artículos 1 a 9 de la OCPA.

Evaluaciones de protección de datos

Debe realizar Evaluaciones de Protección de Datos para llevar a cabo determinadas actividades de tratamiento de datos que presentan un mayor riesgo para los consumidores, como se explica en la Sección 8 de la OCPA.

Según la ley, todas las siguientes situaciones presentan ese riesgo elevado:

• Tratamiento de datos para publicidad dirigida
• Tratamiento de datos sensibles
• Venta de datos personales
• Utilización de datos personales para la elaboración de perfiles que presenten riesgos previsibles como trato injusto, perjuicio para los clientes o invasión de la intimidad.

Puede utilizar una única evaluación de protección de datos si las actividades presentan niveles similares de riesgo de perjuicio para los consumidores.

Debe identificar y sopesar cómo el tratamiento de datos puede beneficiar al responsable del tratamiento, al consumidor, a otras partes interesadas y al público frente a los posibles riesgos para el consumidor.

También debe tener en cuenta:

• Medidas de seguridad o salvaguardias existentes
• Cómo pueden reducir los riesgos los datos desidentificados
• Las expectativas razonables de los consumidores
• El contexto en el que se procesan los datos
• La relación entre el responsable del tratamiento y los consumidores cuyos datos personales tratará el responsable del tratamiento

Reconocimiento de los mecanismos universales de exclusión voluntaria

Las entidades sujetas a la OCPA deben reconocer las extensiones de los navegadores y la configuración global de los dispositivos de privacidad como agentes designados y autorizados por el consumidor en relación con sus derechos de privacidad, como se explica en la sección 4, parte 4 de la ley.

Los mecanismos universales de exclusión voluntaria, como el Control Global de la Privacidad (CGP), permiten a los consumidores comunicar sus preferencias de exclusión voluntaria en sus navegadores de forma automática.

Mientras sea comercialmente viable, esta tecnología debe ser respetada.

Aunque la mayor parte de la OCPA entra en vigor en 2024, esta sección del texto es aplicable desde 2026.

La Ley de Privacidad de Datos de Oregón frente a otros Estados: Similitudes y diferencias

La OCPA se encuentra entre las siguientes leyes estatales estadounidenses sobre privacidad de datos vigentes o aprobadas recientemente:

• Ley de Protección del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA) - actualmente en vigor
• Ley de Privacidad de Colorado (CPA) - actualmente en vigor
• Ley de Privacidad de Datos de Connecticut (CTDPA) - actualmente en vigor
• Ley de Privacidad de Datos Personales de Delaware (DPDPA) - actualmente en vigor
• Carta de Derechos Digitales de Florida (FDBR) - actualmente en vigor
• Ley de Protección de Datos de los Consumidores de Iowa (Iowa CDPA) - actualmente en vigor
• Ley de Protección de Datos de los Consumidores de Indiana (Indiana CDPA) - en vigor desde el 1 de enero de 2026
• Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA) - en vigor desde el 1 de enero de 2026
• Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA) - en vigor desde el 31 de julio de 2025
• Ley de protección de datos en línea de Maryland (MODPA) - en vigor desde el 1 de octubre de 2025
• Ley de Protección de Datos de los Consumidores de Montana (MCDPA) - actualmente en vigor
• Ley de Protección de Datos de Nebraska (NDPA) - actualmente en vigor
• Ley de Privacidad de Datos de New Hampshire (NHDPL) - actualmente en vigor
• Ley de Protección de Datos de Nueva Jersey (NJDPA) - actualmente en vigor
• Ley de Protección de la Información de Tennessee (TIPA) - en vigor desde el 1 de julio de 2025
• Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) - actualmente en vigor
• Ley de Privacidad del Consumidor de Utah (UCPA) - actualmente en vigor
• Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) - actualmente en vigor

Puede comparar estas leyes con la OCPA en la tabla siguiente.

¿Cómo afectará la OCPA a los consumidores?

Con la OCPA, los consumidores tienen nuevos derechos y control sobre la forma en que las entidades procesan y utilizan su información personal.

Según la sección 3 del texto, los consumidores pueden:

• Confirmar si un responsable del tratamiento está tratando o ha tratado información personal sobre ellos y las categorías de datos.
• Una lista de los terceros con los que se comparten los datos.
• Una copia de todos los datos personales tratados o en curso de tratamiento.
• Corregir inexactitudes en sus datos personales.
• Exigir a un responsable del tratamiento que suprima sus datos personales, incluidos los datos que el consumidor haya facilitado al responsable del tratamiento y los obtenidos de otra fuente.
• Rechazar la publicidad dirigida, la venta de sus datos o la elaboración de perfiles.

¿A quién se aplica la OCPA?

La OCPA se aplica a las personas físicas que se encuentran en Oregón únicamente con fines comerciales o domésticos.

No se aplica a las personas que se encuentran en el Estado con fines comerciales o laborales.

¿Cómo afectará la OCPA a las empresas?

La nueva ley de privacidad del consumidor de Oregón afecta a las empresas de varias maneras, más allá de los requisitos de seguridad, las obligaciones contractuales y las normas de evaluación de la privacidad mencionadas anteriormente.

La OCPA también influye en su política de privacidad y puede afectar a su uso de las cookies de Internet.

¿Cómo afectará la OCPA a mi política de privacidad?

Según el artículo 5, parte 4, de la Ley de Oregón sobre Protección de la Vida Privada de los Consumidores, los controladores deben presentar a los consumidores un "aviso de privacidad razonablemente accesible, claro y significativo" que incluya información específica:

• Una lista de las categorías de datos personales, incluidos los datos sensibles tratados
• Una descripción de los fines del responsable del tratamiento para el tratamiento de la información
• Una explicación de cómo los consumidores pueden ejercer sus derechos y cómo recurrir la denegación de dichas solicitudes por parte del responsable del tratamiento.
• una lista de todas las categorías de datos personales compartidos con terceros, incluidos los datos sensibles
• Descripción de las categorías de terceros con los que comparte datos personales
• Una dirección de correo electrónico activa o un método en línea que los consumidores puedan utilizar para ponerse en contacto con el responsable del tratamiento
• Cualquier nombre comercial bajo el cual el controlador esté registrado en la Secretaría de Estado, así como cualquier nombre comercial falso que el controlador utilice en el estado.
• Una descripción de cualquier tratamiento de datos personales para publicidad dirigida o elaboración de perfiles por el que un consumidor pueda optar por no participar.
• Descripción del método o métodos establecidos por el responsable del tratamiento para que los consumidores presenten solicitudes de seguimiento de sus derechos.

¿Cómo afectará la OCPA a mi política de cookies?

La nueva ley de privacidad de datos de Oregón puede afectar a su política de cookiessobre todo si vende información sobre los consumidores recopilada a través de cookies o la utiliza para publicidad dirigida.

En virtud de la OCPA, los consumidores tienen derecho a optar por que sus datos no se utilicen de ninguna de estas formas.

Si utiliza cookies para cualquiera de esos fines, debe informar claramente a sus consumidores y proporcionarles un medio sencillo para retirarse de esas actividades de tratamiento.

¿Quién debe cumplir la nueva Ley de Protección de Datos de Oregón?

Según el artículo 2(1) de la OCPA, debe cumplir esta ley si realiza actividades comerciales en Oregón o suministra productos o servicios a residentes del estado y cumple alguna de las siguientes condiciones en un año natural:

• Controla o procesa datos personales de 100.000 consumidores o más, excluidos los datos controlados o procesados únicamente para completar transacciones de pago.
• Controla o procesa datos personales de 25.000 o más consumidores y obtiene el 25% o más de sus ingresos brutos anuales de la venta de datos personales.

¿Quién está exento de la OCPA?

Las únicas organizaciones sin ánimo de lucro exentas de cumplir la OCPA son las que específicamente detectan y previenen actividades fraudulentas o proporcionan programación a cadenas de televisión o radio, incluida la actividad no comercial de:

• Periodistas
• Estaciones de radio o televisión con licencia de la FCC
• Entidades que prestan un servicio de información, como asociaciones de prensa o agencias de noticias

Además, tampoco se aplica a:

• Corporaciones públicas según la definición de los Estatutos Revisados de Oregón, incluida la Universidad de Salud y Ciencias de Oregón y el Colegio de Abogados del Estado de Oregón.
• Información sanitaria protegida y entidades cubiertas por la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA)
• Información utilizada únicamente para actividades y fines de salud pública
• Instituciones financieras o sus filiales o subsidiarias en virtud de la Ley Gramm Leach Bliley (GLBA)
• Aseguradores y productores de seguros distintos de las personas que, solas o con otras, establezcan y mantengan un programa de autoseguro y no se dediquen de otro modo a la suscripción de pólizas de seguros.
• Información procesada o conservada únicamente para el empleo o la relación comercial de una persona

¿Cómo pueden prepararse las empresas para la OCPA?

Para preparar a sus empresas para la OCPA, actualice su política de privacidad para cumplir con todas las obligaciones de notificación expresadas en la Sección 5, Parte 4 de la ley.

Ofrezca a los consumidores de Oregón múltiples y sencillas formas de hacer valer sus derechos de privacidad y presentar solicitudes, como incluir una opción de exclusión voluntaria en su banner de consentimiento y añadir formularios de solicitud de acceso a los datos por parte del sujeto a su plataforma.

Asegúrate de que utilizas contratos que cumplen los detalles explicados en el artículo 6 de la ley.

En el caso de las entidades que deseen tratar información que presente un riesgo razonable de perjuicio para los consumidores, realicen las evaluaciones de protección de datos adecuadas, tal como se indica en la sección 8.

Por último, antes de 2026, su sitio web debe respetar la configuración de privacidad del navegador, ya que se consideran solicitudes verificables reconocidas para los derechos de exclusión de los consumidores.

¿Cómo se hará cumplir la OCPA?

El Fiscal General de Oregón (AG) es responsable de hacer cumplir la OCPA, como se explica en el artículo 9 de la ley.

El Fiscal General puede presentar una solicitud a cualquier persona que posea, controle o almacene información relevante para una investigación.

Existe un periodo de subsanación de 30 días para corregir la infracción tras recibir una notificación, y el incumplimiento de este plazo puede dar lugar a la adopción de medidas sin más aviso.

Sin embargo, el periodo de subsanación de la OCPA finaliza el 1 de enero de 2026.

Multas y sanciones en virtud de la Ley de Protección de los Consumidores de Oregón

Las entidades que infrinjan la OCPA podrían recibir multas de hasta 7.500 dólares por infracción.

Sin embargo, como se describe en la sección 11, las sanciones prescriben a los cinco años y los consumidores no tienen derecho a emprender acciones privadas.

¿Cómo ayudará Termly a cumplir la OCPA?

Termly ofrece políticas legales y soluciones gestión del consentimiento examinadas por nuestro equipo jurídico y expertos en privacidad de datos para ayudar a las empresas a simplificar el proceso de cumplimiento.

Nuestro sitio Generador de política de privacidad, por ejemplo, es fácil de usar y ayuda a las empresas a elaborar avisos de privacidad personalizados y completos para sus plataformas en cuestión de minutos.

Formula preguntas sencillas sobre sus actividades de tratamiento de datos y crea una política de privacidad basada en sus respuestas.

Vea su aspecto a continuación.

También proporcionamos una plataforma gestión del consentimiento (CMP) que ofrece un banner de consentimiento que puede configurar para cumplir los requisitos de exclusión voluntaria establecidos por leyes como la OCPA.

A continuación, vea una captura de pantalla de nuestro CMP.

Empezar a gestionar el consentimiento

Introduzca la URL de su sitio web

Para ayudarle a crear un sitio política de cookies que cumpla la legislación mundial, primero debemos escanear su sitio web en busca de cookies.

Iniciar Escaneo del Sitio Web

¿Existen otras leyes relacionadas con la privacidad en Oregón?

Aunque la Ley de Privacidad del Consumidor de Oregón es la primera ley estatal que protege la información personal de los consumidores en Internet, ya existen otras normas relacionadas con la privacidad, como la:

• Ley de Oregón de protección de los consumidores contra el robo de identidad: Da a los residentes más herramientas y recursos para ayudarles a protegerse del robo de identidad y otros delitos cibernéticos similares.
• Ley de protección de la información de los estudiantes de Oregón: Prohíbe a los sitios web y plataformas educativas compartir datos personales de los estudiantes en el estado con fines no educativos.

Puede obtener más información sobre esta y otras leyes relacionadas con la privacidad en Oregón en el sitio web del Departamento de Justicia.

Resumen

Si su empresa entra en el ámbito de aplicación de la OCPA, asegúrese de actualizar sus políticas legales para cumplir todas las directrices de notificación que marca la ley.

Añada opciones de exclusión voluntaria para que los consumidores puedan ejercer sus derechos y realice las evaluaciones de protección de datos adecuadas que sean necesarias.

Recuerde incluir un formulario DSAR u otro mecanismo en su plataforma para que los usuarios puedan solicitar el seguimiento de sus derechos, y asegúrese de que su sitio web respeta las CGP antes de 2026.

No se quede atrapado en la confusión del cumplimiento; añada Termly a su caja de herramientas. Le cubrimos las espaldas.

Más sobre el autor

Escrito por Josh Langeland, CIPM

Hola, soy Josh. Soy un ingeniero de privacidad apasionado por el uso de la tecnología para respetar la privacidad de los usuarios. Prospero en la intersección de la tecnología compleja y la legislación sobre privacidad en constante cambio. Si no estoy redactando una revisión de diseño o rediseñando un sistema, puede que me encuentres leyendo una biografía o haciendo senderismo en el parque nacional más cercano. Más sobre el autor