Recurso gratuito para profesionales de la privacidad

La tabla comparativa definitiva de leyes estatales de privacidad para 2025

Más de 20 leyes estatales de privacidad. Cientos de requisitos que se solapan. Una referencia clara, comparada lado a lado, para que no vuelva a pasar por alto ninguna obligación de cumplimiento.

El panorama de la privacidad en los estados de EE. UU. ha pasado de una única ley aplicable en 2020 a 20 leyes estatales de privacidad integrales en 2026. Cada una tiene umbrales de aplicación, derechos del consumidor, mecanismos de exclusión voluntaria, plazos de subsanación y estructuras de control distintos. Tanto si es un DPD que mapea obligaciones entre filiales como un equipo jurídico que asesora sobre operaciones multiestatales, esta tabla comparativa le ofrece la claridad que necesita en minutos, no en días.

Sin tarjeta de crédito. Sin llamada comercial. Introduzca su correo profesional a continuación y le enviaremos la tabla a su bandeja de entrada.

Plataforma alojada en Suiza

Residencia de datos europea

Alineada con ISO 27001

Openmedical: más de 200 horas ahorradas en la preparación

20 leyes estatales monitorizadas

IAPP US State Privacy Legislation Tracker

Con la confianza de equipos de privacidad

Que gestionan más de 50 entidades en todo el mundo

Tratamiento conforme al RGPD

Lea nuestro aviso de protección de datos

20

Leyes estatales de privacidad integrales promulgadas

IAPP y ArentFox Schiff, a mediados de 2025

1,55 M$

Mayor acuerdo bajo la CCPA por el fiscal general de California

Smith Anderson, acción de control de julio de 2025

8

Estados modificaron sus leyes de privacidad en 2025

Informe IAPP sobre leyes estatales de privacidad de EE. UU., octubre de 2025

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Capacidades clave del producto

Creada para la realidad del cumplimiento de la privacidad multiestatal

Veinte estados han promulgado leyes integrales de privacidad desde que California aprobó la CCPA en 2018, y nueve de ellos modificaron sus leyes solo en 2025. Mantenerse al día requiere algo más que hojas de cálculo y pestañas del navegador. Estas capacidades ayudan a los equipos de privacidad a adelantarse a un panorama que cambia cada trimestre.

Gestión del registro de tratamientos entre entidades

Cuando opera en varios estados, cada uno con umbrales de aplicación y derechos del consumidor distintos, su registro de actividades de tratamiento debe reflejar cada jurisdicción. Priverion automatiza la recertificación del registro de tratamientos en todas las entidades del grupo, de modo que las actualizaciones se propagan a medida que cambian las leyes, no semanas después cuando alguien se acuerda de abrir la hoja de cálculo.

Una aseguradora suiza logró una tasa de recertificación del registro de tratamientos del 100% con flujos de trabajo totalmente automatizados.

Una aseguradora suiza, punto de prueba de cliente de Priverion

EIPD asistida por IA y puntuación de riesgos

Estados como Colorado y Nueva Jersey exigen ahora evaluaciones de protección de datos antes de que pueda iniciarse cualquier tratamiento de alto riesgo. La ley de Maryland de 2025 añade algunos de los estándares de minimización de datos más estrictos del país. La redacción asistida por IA de Priverion le ayuda a producir la documentación de las evaluaciones más rápido, con una puntuación de riesgos calibrada según los requisitos específicos de cada estado. La IA asiste; los humanos deciden. No se utilizan datos de clientes para entrenar modelos.

Una empresa de tecnología médica ahorró más de 200 horas en la preparación de ISO 27001 utilizando las herramientas de evaluación de Priverion.

Una empresa de tecnología médica, punto de prueba de cliente de Priverion

Seguimiento de cambios normativos

En 2025 entraron en vigor ocho nuevas leyes estatales de privacidad mientras nueve leyes existentes recibieron modificaciones significativas. Connecticut endureció las protecciones para menores. Colorado añadió obligaciones sobre datos biométricos. California finalizó nuevas regulaciones sobre evaluaciones de riesgos. El seguimiento de cambios normativos de Priverion mantiene su programa de cumplimiento actualizado a medida que evolucionan los requisitos, para que no dependa de entradas de blog de bufetes desactualizadas ni de una hoja de cálculo que su predecesor empezó y nunca terminó.

Ocho leyes estatales de privacidad entraron en vigor en 2025, casi duplicando el número de estados con leyes vigentes.

Perkins Coie, Privacy Law Recap 2025 (enero de 2026)

Gestión de incidentes y flujos de trabajo de violaciones de datos

La CCPA de California sigue siendo una de las únicas leyes estatales con un derecho de acción privada por violaciones de datos. Texas obtuvo un acuerdo de 1.400 millones de dólares con Meta por la recopilación de datos biométricos. Cuando se produce una violación, los plazos de respuesta y las normas de notificación varían según el estado. Los flujos de trabajo de gestión de incidentes de Priverion guían a su equipo a través de los requisitos de notificación de violaciones específicos de cada jurisdicción, generando paquetes de evidencias listos para auditoría en minutos en lugar de semanas.

El acuerdo bajo la CCPA de California de julio de 2025 alcanzó 1,55 M$, el mayor hasta la fecha bajo esa ley.

Smith Anderson, Data Privacy in 2026 (enero de 2026)

Evaluaciones de riesgo de proveedores

Texas presentó su primera demanda bajo la TDPSA contra Allstate y su filial Arity por presuntamente incrustar software de seguimiento en aplicaciones de terceros para recopilar y vender datos personales. Su ecosistema de proveedores es su superficie de exposición. La gestión de terceros de Priverion le ofrece visibilidad completa sobre cómo tratan los datos los proveedores, con evaluaciones mapeadas a las obligaciones específicas de cada ley estatal que su organización debe cumplir.

Un proveedor sanitario logró una cobertura del 100% en la evaluación de riesgo de proveedores con Priverion.

Un proveedor sanitario, punto de prueba de cliente de Priverion

Paneles de cumplimiento listos para el consejo

Los fiscales generales de los estados coordinan cada vez más el control a través de un Consorcio bipartidista de Reguladores de Privacidad. Cuando su director general pregunta «¿cumplimos en todas partes?», necesita una respuesta clara, actualizada y defendible. Los paneles de Priverion ofrecen a CISO y DPD visibilidad en tiempo real en cada entidad y jurisdicción, convirtiendo los datos operativos de cumplimiento en informes listos para el consejo sin consolidación manual.

Un fabricante de aeronaves redujo el tiempo de administración de cumplimiento un 60% en sus primeros 6 meses.

Fabricante de aeronaves, punto de prueba de cliente de Priverion (primeros 6 meses)

Explore la plataforma completa

Vea cómo Priverion mapea las obligaciones de cumplimiento en más de 50 entidades y múltiples jurisdicciones.

Resultados medibles de clientes reales

Las cifras que hacen sonreír a los DPD

200+

Horas ahorradas en la preparación de ISO 27001

Una empresa de tecnología médica ahorró más de 200 horas preparándose para la certificación ISO 27001 con Priverion. El proceso de certificación típico tarda de 6 a 12 meses; los clientes de Priverion quedan listos para auditoría meses antes de lo previsto.

Una empresa de tecnología médica, resultado de cliente verificado

60%

Menos tiempo de administración de cumplimiento

Un fabricante de aeronaves redujo el tiempo de administración de cumplimiento un 60% en sus primeros 6 meses. Con precios predecibles basados en el número de empresas, no en tarifas por usuario, los equipos evitan la escalada de costes habitual en las plataformas empresariales.

Fabricante de aeronaves, primeros 6 meses con Priverion

3 meses

De adelanto en ISO 27001

Aunque la certificación ISO 27001 suele tardar de 6 a 12 meses, los paquetes de evidencias listos para auditoría y la documentación automatizada de Priverion ayudan a los equipos a comprimir los plazos de forma significativa.

Una empresa de tecnología médica, en comparación con los plazos medios del sector

Priverion frente a OneTrust

Creada para el mercado medio. No recortada de la versión empresarial.

Con las multas del RGPD superando ya los 7.100 millones de euros de forma acumulada y un control que se extiende mucho más allá de las grandes tecnológicas, su plataforma de cumplimiento importa más que nunca. Por eso las organizaciones en crecimiento eligen Priverion.

Fuente: DLA Piper GDPR Fines and Data Breach Survey, enero de 2026

Priverion

Diseñada específicamente para la gestión de la privacidad multientidad

  • Soberanía de datos suiza, garantizada

    Creada y alojada en Suiza. Todo el tratamiento de datos permanece dentro de la infraestructura suiza, fuera del alcance de leyes extraterritoriales como la US CLOUD Act y la Sección 702 de la FISA. En un clima regulatorio en el que incluso los hiperescaladores estadounidenses admiten que no pueden garantizar la soberanía de datos de la UE, esto no es una afirmación de marketing: es un diferenciador jurídico.

    El director general de Microsoft Francia declaró bajo juramento que no puede descartarse el acceso estadounidense a los datos (Senado francés, verano de 2025)

  • Operativa en semanas, no en meses

    Interfaz limpia e intuitiva diseñada para DPD, no para equipos de TI empresariales. Sin semanas de configuración ni personal de implantación dedicado. Un fabricante de aeronaves observó una reducción del 60% en el tiempo de administración de cumplimiento en sus primeros 6 meses.

    Fabricante de aeronaves, primeros 6 meses con Priverion

  • Precios predecibles y transparentes

    Basados en el número de empresas y el tamaño de la organización. Sin tarifas por usuario, sin trampas de ampliación por módulo, sin presupuestos personalizados opacos. Sabe lo que pagará antes de firmar.

  • Plataforma de privacidad todo en uno

    Registro de tratamientos, EIPD/evaluaciones de impacto de transferencias, riesgo de proveedores, gestión de incidentes, gestión de solicitudes de los interesados, mapeo de datos, registro de IA y paneles de cumplimiento en una única plataforma. Sin ventas adicionales de módulos para desbloquear lo que necesita.

  • Asistida por IA, controlada por humanos

    La IA ayuda a redactar EIPD, puntuar riesgos y mapear regulaciones. Todos los resultados son revisados por humanos antes de convertirse en registros de cumplimiento. Nunca se utilizan datos de clientes para entrenar modelos.

  • Integraciones profundas y específicas

    Integraciones con sistemas de RR. HH., compras y gestión de activos de TI que importan para los flujos de trabajo de privacidad. Menos conectores, pero cada uno funciona de forma fiable sin sobrecarga de mantenimiento continuo.

OneTrust

Nivel empresarial con complejidad empresarial

  • Con sede en EE. UU., alojada en EE. UU.

    Sujeta a la US CLOUD Act y a la Sección 702 de la FISA. Existen opciones de residencia de datos europea, pero la entidad jurídica permanece bajo jurisdicción estadounidense. La Declaración de Berlín de la UE sobre soberanía digital, adoptada en noviembre de 2025, subraya por qué esto importa.

    Declaración por la Soberanía Digital Europea, firmada por todos los Estados miembros de la UE, noviembre de 2025

  • Curva de aprendizaje pronunciada

    Los usuarios informan sistemáticamente de procesos de configuración complejos que requieren semanas de configuración y recursos técnicos dedicados. Los equipos más pequeños encuentran la plataforma especialmente difícil de mantener.

    Reseñas de usuarios de Capterra, 2025/2026

  • Precios opacos y crecientes

    Sin precios publicados. Presupuestos personalizados que varían según módulos, dominios, usuarios y volúmenes de datos. OneTrust no publica precios de lista. Según datos de precios agregados comunicados por compradores, las implantaciones en el mercado medio suelen oscilar entre la franja media de cinco cifras y la baja de seis cifras anuales, con los servicios de implantación facturados por separado. Fuente: precios agregados comunicados por compradores de Vendr y Enzuzo, consultados el 18/05/2026.

    Análisis de precios de Enzuzo, marzo de 2026; datos de compras de Vendr, febrero de 2026

  • Modelo modular de pago por capacidad

    Cinco líneas de producto separadas, cada una facturada según su propia métrica. Cada módulo que añade incrementa su coste total, y la factura puede crecer en direcciones que no anticipó a medida que su equipo o huella de datos se amplía.

    Sprinto OneTrust Review, marzo de 2026

  • Funciones de IA completas

    Sólidas capacidades de gobernanza de IA e inteligencia regulatoria en más de 300 jurisdicciones. Un potente conjunto de funciones, aunque añade complejidad y coste al conjunto de la plataforma.

  • Amplio ecosistema de integraciones

    Amplia biblioteca de conectores para plataformas de TI, seguridad, marketing, RR. HH. y nube. Potente una vez configurada por completo, pero mantener estas integraciones requiere una supervisión técnica continua considerable.

El control se está acelerando. Solo en 2024, las autoridades europeas de protección de datos impusieron aproximadamente 1.200 millones de euros en multas del RGPD, con notificaciones de violaciones que ya promedian 443 al día. La Ley de IA de la UE alcanza su plena aplicación para los sistemas de alto riesgo en agosto de 2026, añadiendo otra capa de sanciones. La cuestión no es si invertir en herramientas de cumplimiento, sino si las suyas están dimensionadas correctamente para su organización.

Fuentes: DLA Piper GDPR Fines Survey, enero de 2025; calendario de aplicación de la Ley de IA de la UE

Nota honesta: OneTrust es un producto sólido para grandes empresas con equipos de cumplimiento dedicados y necesidades de GRC complejas. Priverion no es un sustituto de eso. Estamos diseñados para organizaciones del mercado medio y multientidad que necesitan una gestión de la privacidad de nivel empresarial sin la complejidad ni el coste de una empresa grande. No cubrimos ESG, líneas éticas ni el consentimiento de cookies.

Vista previa de la tabla

Qué incluye: una muestra de la comparación completa

El PDF completo cubre las 20 leyes estatales de privacidad promulgadas en 12 categorías de comparación. Aquí tiene una muestra de cómo está estructurada la tabla, con 6 estados representativos.

Categoría California (CCPA/CPRA) Colorado (CPA) Connecticut (CTDPA) Texas (TDPSA) Maryland (MODPA) Rhode Island
Fecha de entrada en vigor 1 ene 2020 / 1 ene 2023 1 jul 2023 1 jul 2023 1 jul 2024 1 oct 2025 1 ene 2026
Umbral de aplicabilidad 25 M$ de ingresos, 100.000 consumidores o 50% de los ingresos por venta de datos 100.000 consumidores o 25.000 consumidores + ingresos por venta de datos 100.000 consumidores o 25.000 consumidores + ingresos por venta de datos Realiza actividad en TX o se dirige a residentes de TX (sin umbral de ingresos) 100.000 consumidores o 25.000 consumidores + ingresos por venta de datos 35.000 consumidores o 10.000 consumidores + ingresos por venta de datos
Derecho de supresión
Derecho a oponerse a la venta Sí (+ publicidad dirigida)
EIPD obligatoria Sí (regulaciones de la CPRA, 2025) Sí (minimización de datos estricta)
Plazo de subsanación Ninguno (expiró en julio de 2023) 60 días (expiró en ene 2025) 60 días (expiró en dic 2024) 30 días 60 días (primeros 2 años) Ninguno
Aplicación Fiscal general + CPPA + derecho de acción privada (violaciones de datos) Solo fiscal general Solo fiscal general Solo fiscal general Solo fiscal general Solo fiscal general
Sanción máxima por infracción 7.500 $ (intencionada) 20.000 $ 5.000 $ 7.500 $ 10.000 $ 10.000 $

Esta es una vista previa de 6 estados y 8 categorías. El PDF completo incluye los 20 estados y 12 categorías de comparación.

Fuentes: texto de las leyes promulgadas, IAPP US State Privacy Legislation Tracker (abril de 2026), análisis de ArentFox Schiff

Plantilla gratuita

Tabla comparativa de leyes estatales de privacidad: las 20 leyes, una junto a otra

Veinte estados de EE. UU. cuentan ya con leyes integrales de privacidad, y las diferencias entre ellas generan auténticas brechas de cumplimiento. Este PDF gratuito le ofrece una comparación estructurada y de un vistazo para que deje de cotejar leyes manualmente.

Qué obtendrá:

  • + Derechos del consumidor mapeados en las 20 leyes estatales promulgadas: acceso, rectificación, supresión, exclusión voluntaria y portabilidad
  • + Obligaciones empresariales comparadas: consentimiento para datos sensibles, EIPD, mecanismos universales de exclusión voluntaria y plazos de subsanación (incluido el requisito de Rhode Island sin subsanación)
  • + Umbrales de aplicabilidad de un vistazo: desde los desencadenantes basados en ingresos de California hasta el umbral más bajo de 35.000 consumidores de Rhode Island
  • + Fechas clave de entrada en vigor en 2026 y calendarios de modificación, incluidos Indiana, Kentucky y Rhode Island, además de las nuevas regulaciones de California sobre ADMT y evaluaciones de riesgos

Las fuentes incluyen el IAPP US State Privacy Legislation Tracker (actualizado en abril de 2026) y el texto de las leyes promulgadas en los 20 estados.

Descargue la tabla gratuita

Introduzca su correo profesional y le enviaremos el PDF directamente a su bandeja de entrada.

PDF gratuito. Sin demo. Se lo enviaremos a su bandeja de entrada.

20

estados de EE. UU. con leyes integrales de privacidad en vigor en 2026

MultiState, febrero de 2026; IAPP Tracker, abril de 2026

Lo que dicen los equipos de privacidad

Del caos de las hojas de cálculo a la confianza estratégica

Estos son los resultados que importan: menos tiempo en administración, más tiempo en el trabajo que realmente protege a su organización.

«Pasamos de dedicar la mayor parte de nuestro tiempo de cumplimiento a perseguir a las unidades de negocio para actualizar el registro de tratamientos en varias filiales a tener una recertificación totalmente automatizada. Nuestro DPD ahora se centra en el trabajo estratégico de privacidad en lugar de en el mantenimiento de hojas de cálculo».

Equipo de privacidad

Fabricante de aeronaves — 60% de reducción del tiempo de administración de cumplimiento, primeros 6 meses

«Lograr el 100% de recertificación del registro de tratamientos era algo que no podíamos imaginar con procesos manuales. La automatización de Priverion lo hizo posible en todas nuestras entidades sin añadir personal».

Equipo de cumplimiento

Una aseguradora suiza — tasa de recertificación del registro de tratamientos del 100%, totalmente automatizada

«La cobertura de la evaluación de riesgo de proveedores nos dio una visibilidad que nunca antes habíamos tenido. Ahora podemos mostrar a nuestro consejo exactamente cuál es nuestra situación con cada tercero que trata datos personales».

Equipo de protección de datos

Un proveedor sanitario — cobertura del 100% en la evaluación de riesgo de proveedores

Preguntas frecuentes

Preguntas habituales sobre las leyes estatales de privacidad de EE. UU.

¿Cuántos estados de EE. UU. tienen leyes integrales de privacidad en 2025?

A mediados de 2025, 20 estados de EE. UU. han promulgado leyes integrales de privacidad del consumidor. Solo en 2025 entraron en vigor ocho nuevas leyes (Delaware, Iowa, Nebraska, New Hampshire, Nueva Jersey, Tennessee, Minnesota y Maryland), casi duplicando el número de estados con leyes de privacidad aplicables. Otros estados, como Indiana, Kentucky y Rhode Island, tienen leyes que entran en vigor en 2026. Fuente: IAPP US State Privacy Legislation Tracker; ArentFox Schiff, 2025.

¿Cuál es la diferencia entre las leyes estatales de privacidad y el RGPD?

El RGPD es un único reglamento que cubre todos los Estados miembros de la UE/EEE con un conjunto unificado de requisitos. Las leyes estatales de privacidad de EE. UU. se promulgan de forma independiente en cada estado, creando un mosaico de umbrales de aplicación, derechos del consumidor, mecanismos de control y plazos de subsanación distintos. Para las organizaciones que operan en varios estados, esto significa mapear las obligaciones ley por ley en lugar de seguir un único marco. El RGPD también se aplica directamente a los encargados del tratamiento, mientras que la mayoría de las leyes estatales se centran en los responsables del tratamiento con obligaciones separadas para los encargados.

¿Qué ley estatal de privacidad tiene los requisitos más estrictos?