Resumen de la Ley de Privacidad del Consumidor de California

Última actualización: 8 abr 2026, 10:04 a.m.

Conoce la Ley de Privacidad del Consumidor de California y cómo puede afectar tu negocio.

Toast se compromete a garantizar que las personas que proporcionan información personal a Toast y a nuestros clientes confíen en que su información está siendo adecuadamente protegida y gestionada de acuerdo con sus expectativas y con la legislación de privacidad de datos aplicable. Parte de este compromiso significa que nuestros clientes tienen la información y las herramientas adecuadas a mano para comprender sus obligaciones y cómo Toast puede apoyar ciertos aspectos de estas obligaciones.  

Esta nota orientativa tiene como propósito proporcionar información a nuestros clientes sobre la Ley de Privacidad del Consumidor de California de 2018 (modificada por la Ley de Derechos de Privacidad de California de 2020 o “CPRA”, por sus siglas en inglés) (CCPA) y sus posibles responsabilidades en esta área. El contenido de esta nota orientativa no debe interpretarse como asesoramiento jurídico. Si tienes preguntas sobre la aplicabilidad del CCPA a tu negocio o tus obligaciones, te recomendamos que te comuniques con tu propio asesor jurídico independiente.

En este artículo: 

Descripción general de la Ley de Privacidad del Consumidor de California

¿Qué es el CCPA?

La CCPA es una ley de privacidad de datos de California que establece requisitos sobre cómo las empresas deben recopilar y procesar la información personal de los residentes de California y que entrará en vigencia el 1 de enero de 2020. La CCPA establece derechos individuales (por ejemplo, el derecho a acceder a su información y el derecho a la eliminación) que pueden invocar las personas para proporcionar una mayor transparencia en cuanto a cómo las empresas utilizan sus datos, así como un control adicional sobre su información.


Volver al inicio

¿Qué es la CPRA?

La Ley de Derechos de Privacidad de California entrará en vigencia el 1 de enero de 2023 (“CPRA”). Modifica el CCPA, lo que significa que los requisitos creados por el CPRA ahora forman parte del CCPA.

Los requisitos de la CPRA se basan en los establecidos anteriormente en la CCPA. La CPRA amplía los derechos que las personas pueden ejercer con respecto a su información personal e impone requisitos adicionales a las empresas que recopilan y procesan la información personal de las personas. Esto incluye las obligaciones del empleador respecto de la información personal de los empleados y la información personal que un negocio recopila o procesa en un contexto de negocio a negocio.

Volver al inicio

 

¿Qué es la información personal bajo la CCPA?

La información personal en virtud de la CCPA se define como la información que identifica, se relaciona, describe, es razonablemente susceptible de asociarse con, o podría vincularse, directa o indirectamente, con una persona o un hogar en particular. Por lo tanto, el nombre, la dirección, el correo electrónico y el número de teléfono de tu cliente son toda información personal, pero también lo es su historial de pedidos y comentarios si están relacionados con esa persona o se pueden asociar con ella. 

Volver al inicio

¿El CCPA afecta mi negocio? [Actualizada para reflejar los criterios de la CPRA

Depende. La CCPA rige la recopilación y el uso de la información personal de los residentes de California y se aplica a los negocios que cumplen con uno de los siguientes criterios:

    • A partir del 1 de enero, tener ingresos brutos anuales superiores a USD 25 millones en el año calendario anterior;
    • Comprar, recibir, vender o compartir anualmente la información personal de 100 000 o más clientes con fines comerciales; o
    • Deduce el 50 % o más de sus ingresos anuales de la venta o el intercambio de la información personal de los clientes.

El CCPA también puede aplicarse a tu negocio si está controlado por o comparte una marca común (por ejemplo, nombre compartido, marca de servicio o marca comercial) con un negocio que cumpla con uno de los criterios anteriores. Si no sabes con certeza si el CCPA se aplica a tu caso, consulta con tu propio asesor legal independiente. 

Volver al inicio

 

Actividades recomendadas si tu negocio debe cumplir con el CCPA

  1. Piensa en tus datos y elabora un inventario de datos: Aunque no es obligatorio en virtud de la CCPA, comprender qué información personal recopilas, de dónde la obtienes, cómo la usas, con quién la compartes y cuánto tiempo la conservas es importante para el cumplimiento efectivo de la CCPA en otras áreas (por ejemplo, las divulgaciones de notificaciones y las obligaciones individuales en materia de derechos).
  2. Piensa en cómo recopilas información y divulgaciones: El CCPA requiere que las empresas proporcionen información a las personas que están dentro del alcance en el punto donde se recopila la información. Esto podría aplicarse independientemente de si alguien es consumidor, empleado u otro. Considera dónde se recopila información personal y si tienes las divulgaciones y los avisos apropiados. En algunos casos, las políticas de privacidad también pueden ser obligatorias.
  3. Abordar el cumplimiento de los derechos individuales: El CCPA prescribe una serie de derechos de información (por ejemplo, derecho de acceso, derecho a la eliminación) que se describen con más detalle en esta nota orientativa. Es importante que los negocios dentro del alcance entiendan la naturaleza de estas solicitudes y desarrollen un proceso para cumplirlas en caso de que lleguen.
  4. Identifica si vendes información personal: El CCPA impone obligaciones adicionales si un negocio dentro del alcance de la ley “vende” información personal. En un nivel alto, una “venta” de información personal significa que estás recopilando información personal y luego proporcionándola a un tercero que está utilizando los datos de forma independiente fuera de los servicios que están realizando en tu nombre por algún tipo de consideración. La transferencia de dinero no es necesariamente un requisito para una “venta”.
  5. Implementar controles de seguridad apropiados: Además de otras leyes, la CCPA impone requisitos de seguridad adicionales a los negocios que procesan información personal. Es importante que las empresas entiendan la naturaleza de la información que recopilan y gestionan y que se implementen las medidas de seguridad adecuadas para proteger esa información.


Volver al inicio

 

Consideraciones adicionales para abordar los requisitos de la CPRA

Si tu negocio ya ha pasado por una iniciativa de cumplimiento de CCPA, aquí te mostramos algunas pautas sobre cómo podrías considerar actualizar tus procesos existentes para cumplir con las actualizaciones introducidas por la CPRA.

Si todavía no te preparaste para el CCPA, la lista de actividades recomendadas si tu negocio debe cumplir con el CCPA es un buen punto de partida. Luego, continúa con la siguiente lista:

  1. Inventario de datos: Asegúrate de que tu inventario de datos esté actualizado para que puedas evaluar qué datos tienes disponibles para la CPRA y cuáles son tus obligaciones en virtud de la ley.
  2. Actualizar procesos de derechos individuales: La Ley amplía los derechos que las personas pueden ejercer sobre sus datos personales. Consulta a continuación la sección titulada “Derechos individuales en virtud del CCPA” para obtener más orientación sobre las actualizaciones.
  3. Identifica si compartes información personal: La CPRA impone obligaciones adicionales si un negocio dentro del alcance “comparte” información personal. En un nivel alto, “compartir” información personal significa que estás “divulgando información personal... a un tercero para publicidad comportamental entre contextos, independientemente de si recibes algún tipo de pago”. La CPRA agrega el requisito de revelar si tu negocio “comparte” información y permitir que las personas opten por no compartirla.
  4. Actualiza tus divulgaciones, avisos y enlaces: Asegúrate de que tu declaración de privacidad incluya cualquier información que tengas que divulgar, incluidos los detalles sobre el uso y la retención de información personal confidencial. Si tu negocio “comparte” información personal, asegúrate de tener enlaces obligatorios en tu sitio web. Algunos negocios deben informar métricas sobre las solicitudes de derechos individuales que reciben. Si tu negocio ofertas incentivos financieros asociados con el procesamiento de información personal (por ejemplo, a través de un programa de fidelidad), es posible que tengas requisitos adicionales de divulgación, consentimiento y otros requisitos.
  5. Proveedores y empleados: La CPRA impone nuevos requisitos a proveedores como proveedores de servicios y contratistas (ambos definidos en la CPRA). La CPRA también extiende los derechos individuales a los empleados. Considera revisar los contratos, las divulgaciones y los procedimientos de apoyo para estos grupos.

 

Volver al inicio

Derechos individuales conforme a la CCPA [actualizada con los requisitos de la CPRA]

Resumen de derechos individuales

El CCPA detalla una serie de derechos individuales que tus clientes o empleados pueden ejercer según la aplicabilidad del CCPA a tu negocio. La Ley amplía y reemplaza el conjunto de derechos individuales que las personas pueden ejercer.

  • Derecho de acceso: Las personas tienen derecho a acceder a ciertos datos durante el período anterior de 12 meses, previa verificación de su identidad: (i) las categorías de información personal recopilada, (ii) las categorías de fuentes donde se recopiló la información personal, (iii) los fines comerciales o comerciales para recopilar (o, en su caso, vender o compartir) la información personal, (iv) las categorías de información personal que se divulgaron a terceros con fines comerciales junto con los destinatarios correspondientes, (v) las categorías de información personal vendida o compartida junto con los destinatarios correspondientes, y (vi) los elementos específicos de información personal recopilados sobre la persona.
  • El derecho de supresión: Las personas físicas tienen derecho a solicitar a las empresas que eliminen la información personal que hayan recopilado de ellas, con ciertas excepciones.
  • El derecho de corrección: Las personas físicas tienen derecho a solicitar que un negocio dentro del alcance corrija la información personal inexacta, sujeto a ciertas condiciones.
  • El derecho a optar por no vender o compartir información personal: Las personas tienen el derecho de solicitar que un negocio dentro del alcance se abstenga de vender o compartir información personal que haya recopilado sobre ellas a terceros ahora o en el futuro. Las personas menores de 16 años tienen derecho a suscribirse (o que un padre o tutor se suscriba en su nombre) a dichas ventas o uso compartido.
  • El derecho a limitar el uso y la divulgación de información personal confidencial: Las personas tienen el derecho de limitar el uso o la divulgación de esa información personal confidencial, con ciertas excepciones.
  • El derecho de acceso a la tecnología automatizada de toma de decisiones y a la posibilidad de optar por no utilizarla: Las personas tienen derecho a acceder a la información relativa a las tecnologías automatizadas de adopción de decisiones y a optar por no participar. Es probable que este derecho se aclare mediante una nueva regulación.
  • El derecho contra la discriminación y las represalias: Las personas tienen derecho a no ser discriminadas ni objeto de represalias por el ejercicio de ninguno de los derechos mencionados.


Nota: La información personal de los empleados y la información personal procesada en un contexto de empresa a empresa ahora están sujetas a los requisitos de la CPRA, incluidas las solicitudes de derechos individuales.

Este es un resumen de alto nivel de los derechos individuales reconocidos en la CCPA. Hay requisitos adicionales en relación con cada derecho, así como muchas excepciones en las que estos derechos tal vez no puedan invocarse según las circunstancias específicas. Además, los negocios dentro del alcance deben establecer canales de admisión (por ejemplo, un número de teléfono gratuito, correo electrónico, formulario de sitio web) para garantizar que las personas tengan la capacidad de enviar estas solicitudes de derechos.


Consulta con tu asesor jurídico independiente para determinar la aplicabilidad del CCPA a tu negocio y la aplicabilidad de los derechos mencionados a fin de determinar si necesitas cumplir con la solicitud de una persona.

Volver al inicio

 

Consideraciones sobre derechos individuales en el marco de la CCPA

Estas son algunas consideraciones que debes tener en cuenta cuando recibas una solicitud de derechos individuales de uno de tus clientes o empleados:

  • Verificación de identidad: Los negocios dentro del alcance deben verificar la identidad de la persona que realiza la solicitud antes de proporcionarle la información que han solicitado. De esta manera, se evita la divulgación de información a personas que no tienen derecho a ella. Piensa en qué información personal Omites y en los tipos de información que puedes necesitar de una persona para verificar su identidad en tu negocio. Los ejemplos pueden incluir, entre otros, nombres, direcciones de correo electrónico, números de teléfono o información como un número de identificación de empleado o un número de cuenta de fidelidad. Ten en cuenta que, según la CCPA, también puede enviar una solicitud un agente autorizado que actúe en nombre de la persona.
  • Determinación de la aplicabilidad: Después de la verificación de la identidad, la siguiente determinación es si la persona tiene derecho a que se complete la solicitud. El CCPA proporciona numerosas instancias en las que un negocio no está obligado a Completar una solicitud de derechos individuales. Esto tiene sentido en algunos casos, ya que una parte en un contrato activo o un empleado existente puede no tener derecho a eliminación completa dada la necesidad de mantener su información. Recomendamos familiarizarse con las circunstancias sobre cuándo se aplica cada derecho.
  • Cronología y comunicación: La CCPA impone una serie de plazos no solo para el cumplimiento del derecho en sí, sino también en relación con cuándo debes comunicarte con el solicitante. Es importante asegurarse de conocer estos plazos. Paralelamente a los plazos, también es importante la comunicación con la persona que realiza la solicitud. Puede ser importante aclarar la solicitud de la persona si es demasiado amplia o si deseas más claridad. La comunicación también es importante para asegurarte de verificar correctamente la identidad de la persona y determinar si su solicitud es permisible bajo el CCPA.
  • Compleción de derechos: Para Completar solicitudes de derechos individuales en virtud del CCPA, los negocios dentro del alcance deben comprender qué información personal recopilan, cómo se utiliza y cómo comparten esa información. Por ejemplo, si no sabes qué información personal Omites o cómo se comparte, será difícil proporcionar información a una persona en cumplimiento de una solicitud de acceso o comprender qué debes eliminar como parte de una solicitud de eliminación. El CCPA describe una serie de requisitos específicos para lo que se debe proporcionar a una persona, por lo que te recomendamos que leas el CCPA para comprender estos requisitos y contratar a un asesor jurídico independiente si tienes preguntas.


En ciertos casos, Toast puede ayudar a nuestros clientes con el cumplimiento de sus derechos individuales. Para obtener más información, consulta este artículo del Centro de asistencia: Cumplimiento de la Ley de Privacidad del Consumidor de California, que describe dónde Toast puede ayudar durante este proceso.

 

Volver al inicio