anonym.legal

By · Last updated 2026-06-05

Volver al BlogGDPR y Cumplimiento

CCPA/CPRA 2025: Lo que la Ley de Derechos de...

La CPPA emitió más de $100 millones en multas en 2024. La CPRA cubre a 40 millones de californianos y se aplica globalmente a la mayoría de las...

June 5, 202610 min de lectura
CCPA CPRACalifornia privacy lawCPPA enforcementUS state privacyAI compliance

CCPA/CPRA: Guía sobre la ley de privacidad de California

Actualizado para 2026.

La Ley de Derechos de Privacidad del Consumidor de California (CPRA) entró en vigor en 2023. Creó la Agencia de Protección de la Privacidad de California (CPPA). La CPPA es el primer regulador estatal de privacidad en los Estados Unidos. En 2024, la CPPA impuso más de 100 millones de dólares en multas. La ley de privacidad de California es aplicación activa — no una norma en papel.

¿Quién debe cumplirla?

Tres pruebas determinan si la ley aplica. Una empresa debe cumplir al menos una de ellas.

  • Ingresos anuales de 25 millones de dólares o más.
  • Datos personales de 100.000 o más consumidores del estado.
  • Más del 50 % de los ingresos procedentes de la venta de información personal.

El estado tiene 40 millones de residentes. Es la quinta economía más grande del mundo. La mayoría de las empresas globales cumplen al menos una prueba.

19 categorías de datos sensibles

La ley crea un nivel especial para los datos personales sensibles. Las empresas deben dar a los consumidores un aviso adicional y el derecho a limitar el uso. Los 19 tipos son:

  1. Números de seguridad social, licencia de conducir, ID estatal, pasaporte
  2. Números de cuenta financiera o tarjeta con códigos de acceso
  3. Geolocalización precisa (dentro de 1.852 metros)
  4. Origen racial o étnico
  5. Creencias religiosas o filosóficas
  6. Afiliación sindical
  7. Contenido de correos electrónicos privados o correo postal
  8. Información genética
  9. Registros biométricos para identificación
  10. Registros de salud o médicos
  11. Orientación sexual o vida sexual
  12. Estatus migratorio (añadido en 2024)
  13. Registros de salud mental (añadidos en 2024)
  14. Estatus de ciudadanía
  15. Números de cuenta sin códigos de acceso
  16. Estatus de discapacidad
  17. Indicadores de estatus de empleo
  18. Información de pólizas de seguro
  19. Registros penales o de arrestos

Para cada categoría, los consumidores pueden limitar cómo una empresa los usa y comparte. Este derecho es independiente del derecho general de oposición a la venta de datos.

Lo que la CPPA investigó en 2024

Las acciones de la CPPA en 2024 se dividieron en cuatro áreas.

Registro de intermediarios de datos. El estado exige que los intermediarios de datos se registren con la CPPA. La agencia encontró cientos de intermediarios no registrados que vendían perfiles de consumidores.

Herramientas de opt-out defectuosas. Muchas plataformas de consentimiento no ofrecían un opt-out real. El botón no funcionaba, o el opt-out solo cubría algunos usos.

Decisiones de IA sin aviso. Las reglas de IA de 2025 exigen aviso cuando herramientas automatizadas toman decisiones clave. El empleo, el crédito y la vivienda están incluidos. Varios casos de 2024 apuntaron a herramientas de IA usadas sin este aviso.

Datos de menores. El Código de Diseño Apropiado para la Edad de California aplica a cualquier servicio que los menores probablemente usen. Esas empresas deben completar una Evaluación de Impacto de Protección de Datos. La CPPA encontró que muchas compañías no lo habían hecho.

Ley estatal vs. RGPD: diferencias clave

El cumplimiento del RGPD no le cubre en California. Las leyes comparten objetivos pero difieren en puntos clave.

Opt-out versus opt-in. El RGPD requiere consentimiento opt-in para la mayoría de usos de datos sensibles. La ley estatal usa un modelo opt-out. El procesamiento está permitido hasta que el consumidor se oponga.

Derechos del consumidor. Ambas leyes otorgan derechos de acceso, supresión y rectificación. La ley estatal añade el derecho a oponerse a las decisiones automatizadas. El Artículo 22 del RGPD también cubre esto, pero con un alcance más limitado.

Registros de empleados. La ley estatal aplica plenamente a los datos personales de los empleados. El RGPD también, pero los estados miembros de la UE tienen sus propias normas laborales. La privacidad del personal en el estado a menudo necesita su propia pista de cumplimiento.

Tipos sensibles. Los 19 tipos estatales se superponen parcialmente con el Artículo 9 del RGPD. El estatus migratorio y los números de cuenta independientes son específicos del estado.

Consulte la guía de cumplimiento legal para saber cómo se acumulan estas obligaciones.

Requisitos para proveedores de IA

Las reglas de IA de 2025 crean obligaciones claras para las empresas que usan herramientas de IA con registros de consumidores.

Contratos de proveedores. Los proveedores de servicios deben firmar un acuerdo por escrito. El acuerdo debe cubrir cuatro puntos. Primero: usar los registros solo para el propósito declarado. Segundo: eliminar los registros cuando el servicio termine. Tercero: tramitar las solicitudes de derechos de los consumidores. Cuarto: mantener una seguridad adecuada.

Aviso de decisión automatizada. Si una herramienta de IA ayuda a decidir sobre crédito, fraude o empleo — se debe informar a los consumidores. También deben recibir un opt-out.

Límites de entrenamiento de IA. Si los registros de consumidores entrenaron un modelo de IA, ese modelo tiene límites. No puede usarse para propósitos que entren en conflicto con la razón de recolección original.

La solución directa para la mayoría de los equipos: eliminar los IDs personales antes de que los registros entren en cualquier sistema de IA. Esto cumple las reglas de decisión de IA y reduce el riesgo de tipos sensibles al mismo tiempo.

Aprenda cómo anonym.legal elimina los IDs antes del procesamiento de IA en /security-compliance.

Puntos clave

La ley estatal cubre a la mayoría de las empresas globales con clientes en el estado. Añade 19 tipos sensibles, una agencia de aplicación activa y reglas de aviso de IA. El cumplimiento del RGPD no reemplaza el cumplimiento estatal. El paso más claro: eliminar IDs personales antes de que los registros entren en herramientas de IA.

Lea sobre minimización de datos en /docs/faq.

Fuentes

  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • California Privacy Rights Act (CPRA) texto completo. leginfo.legislature.ca.gov.
  • CPPA: Automated Decision-Making Technology Regulations 2025. cppa.ca.gov.
  • California Age-Appropriate Design Code. leginfo.legislature.ca.gov.

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.