Inicio ' Recursos ' Listas de comprobación ' Requisitos de cumplimiento de la CPRA en 7 pasos....

Lista de comprobación en 7 pasos de los requisitos de cumplimiento de la CPRA

Por: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Actualizado el: 4 de noviembre de 2025

Generar una política de privacidad CPRA gratuita
Lista de control CPRA

La Ley de Derechos de Privacidad de California(CPRA) entró en vigor el 1 de enero de 2023, modificando partes de la Ley de Privacidad del Consumidor de California(CCPA).

Hoy en día, las enmiendas de la CPRA están totalmente en vigor, incluidas todas las normas de aplicación establecidas por la Agencia de Protección de la Privacidad de California (CPPA), el grupo responsable de hacer cumplir la ley.

Los sitios web sujetos a las enmiendas de la CPRA a la CCPA pueden seguir los pasos que se indican a continuación para ayudar a cumplir las obligaciones que les impone la ley.

Índice
  1. Lista de comprobación del cumplimiento de la CPRA: Paso a paso
  2. FAQ sobre los requisitos de la CPRA

Lista de comprobación del cumplimiento de la CPRA: Paso a paso

Parte 1: Realice una auditoría de privacidad

Para cumplir con sus obligaciones en virtud de la CCPA modificada por la CPRA, comience por realizar una auditoría de privacidad para saberlo con certeza:

  • Toda la información personal que acumule su empresa
  • De dónde procede
  • Cómo se recoge

Por ejemplo, puede obtener datos directamente de los usuarios a través de formularios de Internet, instalando cookies en sus navegadores o de fuentes públicas.

Si no conoce toda esta información, no puede decir que cumple plenamente la CCPA modificada por la CPRA, y su empresa corre el riesgo de ser multada por infringir la ley.

Para realizar su propio inventario de datos, considere las siguientes técnicas:

Parte 2: Requisitos de notificación de privacidad

Las empresas deben cumplir obligaciones específicas de notificación de privacidad como parte de los requisitos de la CPRA.

Para tener en cuenta las enmiendas de la CPRA, publique en su sitio web una política de privacidad preparada para la CCPA que incluya todos los detalles siguientes:

  • Las categorías de datos personales que recoge
  • Fuentes de las que se recogieron los datos.
  • La finalidad por la que recopila, utiliza, vende o comparte datos personales.
  • Si comparte o vende datos personales con terceros.
  • Las categorías de los terceros con acceso a los datos.
  • El plazo de conservación previsto para cada categoría de datos personales.
  • Los criterios utilizados para determinar cuánto tiempo es necesario conservar los datos.
  • Detalles sobre los derechos de los consumidores a solicitar la supresión de sus datos personales.
  • Detalles sobre los derechos de los consumidores a solicitar la rectificación de sus datos personales.

Sólo puede recopilar, utilizar, conservar y compartir datos de un modo que se considere razonablemente necesario para alcanzar los fines que usted declara en su política de privacidad.

Como exige la ley, prevea actualizar su política de privacidad al menos una vez cada 12 meses.

Parte 3: Obtener el consentimiento adecuado del consumidor para el tratamiento específico de datos

Implemente un gestor consentimiento de cookies en su sitio web para ofrecer a los usuarios de California opciones de consentimiento adecuadas para tipos específicos de tratamiento de datos, tal y como exige la CCPA/CPRA.

Si comparte o vende información personal, aplique lo siguiente:

Si desea recopilar información personal sensible, ponga en práctica lo siguiente:

  • Explique que desea recopilar información personal sensible en un banner de consentimiento y permita a los usuarios optar por no hacerlo.
  • Informar a los consumidores de su derecho a limitar el uso de sus datos sensibles a lo razonablemente necesario para prestar servicios o suministrar bienes.
  • Añada un enlace "Limitar el uso de mi información personal confidencial" en su sitio web.
  • Respetar las preferencias de consentimiento que el individuo establezca mediante mecanismos universales de exclusión voluntaria.

Parte 4: Obligaciones contractuales para compartir o vender datos personales

En virtud de la CCPA modificada por la CPRA, las empresas que comparten o venden información personal establecen y aplican contactos que cumplen las siguientes obligaciones:

  • Especifique qué datos personales se comparten o venden.
  • Explique durante cuánto tiempo tiene acceso a los datos el tercero.
  • Especifique los fines específicos para compartir o vender los datos personales.
  • Obligar al tercero a cumplir todas las obligaciones aplicables para proporcionar el mismo nivel de seguridad que exige la CCPA/CPRA.
  • Otorgue a su empresa el derecho a tomar medidas razonables y adecuadas para ayudar al tercero a utilizar los datos personales de forma que se cumplan todas las obligaciones empresariales CCPA/CPRA.
  • Exija al tercero que notifique a su empresa si no puede cumplir las directrices CCPA/CPRA establecidas en el contrato.
  • Otorgue a su empresa el derecho a tomar medidas razonables y adecuadas para detener y remediar el uso no autorizado de datos personales.

También debe asegurarse de que su empresa y el tercero firmen el contrato.

Parte 5: Derechos del consumidor y solicitudes verificables de los consumidores

Las empresas, en virtud de la CCPA modificada por la CPRA, deben respetar los derechos de los consumidores a solicitar lo siguiente:

  • Acceder a sus datos personales
  • Corregir o modificar sus datos personales
  • Borrar sus datos personales
  • Optar por que no se vendan o compartan sus datos
  • Limitar el uso de sus datos personales sensibles

Estos consumidores también tienen derecho a no ser discriminados por ejercer su derecho a la intimidad.

Por ejemplo, esto significa que no puede:

  • Negar a un consumidor bienes o servicios.
  • Cobrar precios o tarifas diferentes, dando a entender que se trata de una penalización.
  • Proporcionar un nivel diferente de servicio o calidad de los bienes implicando que se trata de una penalización.
  • Sugerir a los consumidores que recibirán un precio, tarifa o calidad de bienes diferentes por actuar conforme a sus derechos.
  • Tomar represalias contra empleados, solicitantes o contratistas que ejerzan su derecho a la intimidad.

Pero tú puedes:

  • Cobrar un precio alternativo o una calidad jurídica o de servicio diferente en relación razonable con el valor aportado por sus datos personales.
  • Ofrezca a los consumidores programas de fidelidad, recompensas y clubes o funciones y descuentos especiales por facilitar sus datos personales.

Para cumplir con esta parte de la ley, debe proporcionar a los consumidores dos o más métodos para actuar sobre sus derechos de privacidad, que pueden incluir:

  • Publique en su sitio web un formulario de Solicitud de Acceso del Sujeto a los Datos (DSAR).
  • Respete los mecanismos de exclusión universal (UOOM) establecidos en los navegadores de los usuarios o mediante una extensión del navegador, como Global Privacy Controls (GPC).
  • Enlace a una dirección de correo electrónico o física específica a la que puedan enviar sus solicitudes.

A continuación, debe revelar y entregar gratuitamente la información solicitada en un plazo de 45 días a partir de la recepción de una solicitud verificable del consumidor.

Parte 6: Procedimientos y prácticas de seguridad

La CCPA, modificada por la CPRA, exige a las empresas que apliquen medidas y protocolos de seguridad razonables en función de la naturaleza y la cantidad de datos personales recogidos.

Aunque la ley no especifica qué medidas de seguridad debe utilizar, sí le exige que la proteja de usos no autorizados o ilegales:

  • Acceda a
  • Destrucción
  • Utilice
  • Modificación
  • Divulgación

La CPRA otorga a los consumidores californianos derechos más amplios para emprender acciones privadas contra las empresas que recopilan sus datos en caso de que éstos se vean vulnerados o comprometidos.

Parte 7: Recogida y tratamiento de datos personales de menores

La CPRA introdujo requisitos que las empresas deben cumplir si quieren recoger y procesar datos de menores conforme a la CCPA, entre los que se incluyen:

  • Obtener el consentimiento explícito antes de vender o compartir datos personales de un menor de 16 años.
  • Establecer una forma de que los menores o sus tutores legales especifiquen que el consumidor tiene entre 13 y 16 años o menos de 13 años.

FAQ sobre los requisitos de la CPRA

Ahora que ya ha visto la lista de comprobación del cumplimiento de la CPRA, vamos a repasar algunas de las preguntas más frecuentes sobre la CPRA.

¿Se aplica la CPRA a mi empresa?

La CCPA, modificada por la CPRA, se aplica a su empresa si está ubicada en California o si cumple alguna de las siguientes directrices:

  • Obtuvo 25 millones de dólares de ingresos brutos anuales a 1 de enero del año natural anterior.
  • Anualmente compra, vende o comparte información personal de 100.000 consumidores u hogares californianos o más (frente a los 50.000 anteriores a la entrada en vigor de las enmiendas de la CPRA).
  • Usted obtiene el 50% o más de sus ingresos brutos anuales de la venta o el intercambio de información personal.

¿Cuándo entró en vigor la CPRA?

La mayoría de los requisitos legales de la CPRA entraron en vigor el 1 de enero de 2023, pero las normas de aplicación entraron en vigor el 1 de julio de 2023.

En un principio, las normas de aplicación debían remontarse a datos recogidos hasta el 1 de enero de 2022, pero la CPPA no finalizó sus recomendaciones a tiempo.

Como resultado, los tribunales de California aplazaron la aplicación hasta el 29 de marzo de 2024, pero la CPPA recurrió la decisión.

El 9 de febrero de 2024, se anunció que el Tribunal de Apelación del Tercer Distrito de California daba la razón a la CPPA, revirtiendo la fecha de entrada en vigor al 1 de julio de 2023.

La ley modificada ya está totalmente en vigor, y las empresas deben asegurarse de que cumplen todas las obligaciones relativas a los datos recopilados a partir del 1 de julio de 2023.

¿Cómo modificó la CPRA la CCPA?

La CPRA introdujo los siguientes cambios principales en la CCPA:

  • Ampliaba el umbral legal de la ley, haciéndola más favorable a las pequeñas empresas.
  • Introdujo el concepto de compartir información personal.
  • Añadió la categoría de información personal sensible.
  • Introdujo nuevos derechos de los consumidores, entre ellos el de optar por no compartir sus datos y limitar el uso de sus datos personales sensibles.
  • Cambió y amplió las obligaciones empresariales, incluyendo la introducción de requisitos de seguridad y obligaciones contractuales.
  • Introdujo la CPPA como organismo responsable de hacer cumplir y aplicar la ley.
  • Elimina el periodo de subsanación de 30 días para las infracciones, permitiendo a la CPPA determinar si una empresa obtiene un periodo de gracia en función de cada caso.

¿Quién hace cumplir la CPRA?

La CCPA/CPRA es aplicada por la Agencia de Protección de la Privacidad de California o CPPA, un grupo independiente creado por las enmiendas a la CPRA.

Crean normas y directrices de aplicación y también son responsables de enseñar al público las mejores prácticas de cumplimiento.

La CPPA sustituyó al Fiscal General de California, que anteriormente era responsable de hacer cumplir la CCPA.

¿Cuáles son las sanciones por infringir la CPRA?

Si infringe la CCPA/CPRA, podría recibir las siguientes multas:

  • 2.500 dólares por infracción no intencionada
  • 7.500 $ por violación intencionada o cualquier delito en el que esté implicado un menor de 16 años

No existe un periodo de gracia o subsanación específico para corregir las infracciones de la CCPA/CPRA. En su lugar, la CPPA puede concederte uno si lo considera necesario.

Los consumidores también pueden emprender acciones privadas contra las empresas que infrinjan la CCPA/CPRA si:

  • Sus datos personales no cifrados y no redactados se ven comprometidos o violados.
  • Su dirección de correo electrónico, en combinación con una contraseña u otros datos que permitan el acceso a una cuenta, se ve comprometida o violada.

¿Puede Termly ayudar con el cumplimiento de la CCPA/CPRA?

¿Necesita ayuda para cumplir los requisitos de la ley de privacidad de California? Utilice TermlyGenerador de política de privacidad para crear una política que le ayude a alinearse con las normas de la CCPA modificadas por la CPRA. Respaldado por nuestro equipo jurídico y expertos en privacidad de datos, formula preguntas básicas sobre su negocio y elabora una política única basada en sus respuestas.

También ofrecemos una plataforma degestión del consentimiento (CMP) configurable para presentar a los usuarios de California opciones de consentimiento adecuadas basadas en los requisitos de la CCPA/CPRA. Incluye acceso a un formulario DSAR que puede incrustar en su sitio web para ayudar a sus usuarios a presentar solicitudes de consumidores verificables.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Más sobre el autor

Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Generar una política de privacidad CPRA

Responda a unas sencillas preguntas para generar su póliza conforme a la CPRA en cuestión de MINUTOS.
Generar la política de privacidad de CPRA

Artículos Relacionados

  1. Los 10 conceptos erróneos másrgpd sobre el RGPD-01
    Los 10 rgpd más comunes sobre rgpd y la verdad que se esconde tras ellos
    Artículos

    10 de diciembre de 2025
    Natasha Piirainen
  2. Respuestas positivas frente a negativas al DSAR-01
    Respuestas adecuadas e inadecuadas a las solicitudes de acceso a datos personales: cómo se reconocen
    Recursos

    9 de diciembre de 2025
    Hanna De La Garza
  3. Política de privacidad para una empresa SaaS 01
    Política de privacidad para una empresa SaaS: cómo crear una
    Artículos

    4 de diciembre de 2025
    Hanna De La Garza
  4. Termly
    Termly vs PolicyMaker: Comparación de características y ventajas
    Comparaciones

    26 de noviembre de 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  5. Termly
    Termly vs Ketch: Comparación de características y servicios
    Comparaciones

    14 de noviembre de 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  6. EU-Compliant-Privacy-Policy-01
    Política de privacidad conforme a la UE
    Artículos

    7 de noviembre de 2025
    Hanna De La Garza
  7. Requisitos legales para las tiendas de comercio electrónico-01
    5 tipos de requisitos legales para las tiendas de comercio electrónico
    Artículos

    5 de noviembre de 2025
    Natasha Piirainen
  8. Cómo utilizar herramientas de inteligencia artificial sin vulnerar la legislación sobre privacidad-01
    Cómo utilizar herramientas de IA sin infringir las leyes y buenas prácticas de privacidad
    Artículos

    31 de octubre de 2025
    Natasha Piirainen
  9. AI-Privacidad-Estadísticas
    54 Estadísticas reveladoras sobre la privacidad de los datos de IA
    Artículos

    15 de octubre de 2025
    Hanna De La Garza

Explore más recursos