Si su sitio web atiende a usuarios tanto en la Unión Europea como en California, probablemente esté sujeto a dos de las regulaciones de privacidad más influyentes del mundo: el Reglamento General de Protección de Datos (RGPD) y la California Consumer Privacy Act (CCPA), según las enmiendas del California Privacy Rights Act (CPRA). Aunque ambas leyes buscan proteger los datos personales, difieren fundamentalmente en su enfoque, alcance y aplicación. Comprender estas diferencias no es opcional — es esencial para construir una estrategia de cumplimiento que satisfaga ambos marcos sin duplicación innecesaria ni lagunas. Este artículo ofrece una perspectiva especial para las empresas españolas, donde la AEPD aplica el RGPD junto con la LOPDGDD.
Fundamentos filosóficos: opt-in vs opt-out
La diferencia más fundamental entre el RGPD y el CCPA radica en su modelo de consentimiento predeterminado.
El RGPD opera sobre una base de opt-in. Según el artículo 6 del RGPD, el tratamiento de datos personales requiere una base jurídica antes de cualquier recopilación. Para muchos tipos de tratamiento — particularmente marketing, perfilado y análisis — debe obtenerse el consentimiento explícito del interesado antes de la recopilación de datos. Esto significa que cuando un usuario europeo visita su sitio web por primera vez, no puede establecer cookies no esenciales, activar píxeles de seguimiento ni recopilar datos de comportamiento hasta que el usuario consienta afirmativamente. En España, la AEPD y la LSSI (Ley de Servicios de la Sociedad de la Información) establecen requisitos particularmente detallados sobre el consentimiento para cookies.
El CCPA opera sobre una base de opt-out. Las empresas pueden recopilar y utilizar información personal sin obtener consentimiento previo (con ciertas excepciones para menores de 16 años). En su lugar, el CCPA otorga a los consumidores el derecho a rechazar la venta o el intercambio de su información personal después del hecho. La empresa debe proporcionar un enlace “No vender ni compartir mi información personal”, pero puede procesar datos por defecto hasta que el consumidor ejerza ese derecho.
Esta distinción tiene profundas implicaciones prácticas. Un sitio web conforme al RGPD que bloquea todo seguimiento hasta obtener consentimiento también satisfará los requisitos menos restrictivos del CCPA. Pero un sitio conforme al CCPA que rastrea usuarios por defecto y se basa en el opt-out violará el RGPD si atiende a usuarios europeos sin consentimiento previo.
Alcance y aplicabilidad
Quién está protegido
RGPD: Cualquier “interesado” que se encuentre en la Unión Europea, independientemente de su nacionalidad o residencia. Un turista estadounidense que navega por un sitio web mientras visita Madrid está protegido por el RGPD durante esa visita. El reglamento protege a individuos (personas físicas), no a empresas.
CCPA: Los “consumidores” californianos, definidos como personas físicas residentes en California. La protección sigue la residencia de la persona, no su ubicación física. Un residente californiano que navega por un sitio web mientras vacaciona en Tokio sigue protegido por el CCPA.
Qué empresas deben cumplir
RGPD: Cualquier organización, en cualquier parte del mundo, que trate datos personales de personas en la UE, siempre que ofrezca bienes o servicios a residentes de la UE o monitorice su comportamiento (Artículo 3). No hay umbral de ingresos ni mínimo de volumen de datos. Un blog personal que recopila direcciones de correo electrónico de visitantes de la UE debe cumplir. En España, la AEPD ha confirmado este enfoque con múltiples resoluciones.
CCPA: Empresas con ánimo de lucro que operan en California y cumplen al menos uno de tres umbrales: ingresos brutos anuales superiores a 25 millones de dólares; compra, venta o intercambio de información personal de 100.000 o más consumidores o hogares; o derivar el 50% o más de los ingresos anuales de la venta o el intercambio de información personal (Cal. Civ. Code section 1798.140(d)). Las organizaciones sin ánimo de lucro y las entidades gubernamentales están exentas.
Esta diferencia significa que el RGPD tiene un alcance mucho mayor. Una pequeña tienda online con unos pocos clientes europeos está sujeta al RGPD, mientras que la misma empresa podría estar por debajo de todos los umbrales del CCPA y quedar exenta de la ley californiana.
Definición de datos personales
RGPD: “Datos personales” significa cualquier información relativa a una persona física identificada o identificable (Artículo 4(1)). Esto incluye nombres, direcciones de correo electrónico, direcciones IP, identificadores de cookies, datos de ubicación, identificadores en línea e incluso datos seudonimizados si la reidentificación es posible.
CCPA: “Información personal” se define de manera más amplia en algunos aspectos, cubriendo información que “identifica, se relaciona con, describe, es razonablemente capaz de ser asociada con, o podría razonablemente estar vinculada, directa o indirectamente, con un consumidor o hogar particular” (Cal. Civ. Code section 1798.140(v)). La adición de “hogar” extiende la cobertura más allá del individuo. Sin embargo, la información públicamente disponible está explícitamente excluida de la definición del CCPA, mientras que el RGPD no hace tal exclusión.
Ambas leyes cubren las mismas categorías fundamentales (nombres, emails, direcciones IP, identificadores de dispositivos, historial de navegación, registros de compras), pero el alcance a nivel de hogar del CCPA y la inclusión de datos públicos por el RGPD crean divergencias que importan en la práctica.
Derechos de los consumidores/interesados
Ambas leyes otorgan a los individuos derechos sobre sus datos personales, pero los detalles difieren:
| Derecho | RGPD | CCPA/CPRA |
|---|---|---|
| Derecho de acceso/conocimiento | Artículo 15: derecho a obtener confirmación y copia de todos los datos personales | Sección 1798.100: derecho a conocer categorías y elementos específicos recopilados en los últimos 12 meses |
| Derecho de supresión | Artículo 17: derecho al olvido con amplias excepciones | Sección 1798.105: derecho de eliminación con excepciones especificadas |
| Derecho a la portabilidad | Artículo 20: derecho a recibir datos en formato legible por máquina | Sin equivalente en el CCPA |
| Derecho de rectificación | Artículo 16: derecho de rectificación | Sección 1798.106 (añadida por el CPRA): derecho a corregir información inexacta |
| Derecho de exclusión de venta | No directamente aplicable (modelo basado en consentimiento) | Sección 1798.120: derecho a rechazar la venta y el intercambio |
| Derecho a limitar datos sensibles | Artículo 9: categorías especiales requieren consentimiento explícito | Sección 1798.121 (CPRA): derecho a limitar el uso de información personal sensible |
| Derecho a la no discriminación | Implícito en principios generales | Sección 1798.125: prohibición explícita de discriminar a consumidores que ejercen sus derechos |
| Plazo de respuesta | 1 mes (ampliable a 3) | 45 días (ampliable a 90) |
Los derechos del RGPD son generalmente más amplios y están más establecidos gracias a años de jurisprudencia y orientación regulatoria, incluidas las numerosas resoluciones de la AEPD en España. Los derechos del CCPA son más específicamente definidos en la ley pero más recientes y aún en evolución.
¿No sabe que regulaciones se aplican a su sitio web? El escaner de conformidad gratuito de WebLegal analiza su sitio e identifica los documentos legales y requisitos de privacidad que debe abordar.
Bases jurídicas del tratamiento
Aquí es donde los dos marcos divergen más marcadamente.
RGPD: El artículo 6 requiere una de seis bases jurídicas para cada actividad de tratamiento: consentimiento, ejecución de contrato, obligación legal, intereses vitales, misión de interés público o intereses legítimos. La elección de base jurídica debe documentarse y comunicarse a los interesados. Para categorías especiales de datos (Artículo 9), debe cumplirse una condición adicional, generalmente el consentimiento explícito. La AEPD ha publicado guías detalladas sobre la elección de la base jurídica apropiada, complementadas por la LOPDGDD.
CCPA: No existe el concepto de “base jurídica” en el CCPA. Las empresas pueden recopilar y tratar información personal para cualquier fin comercial declarado. La ley regula la divulgación y los derechos de exclusión en lugar de exigir una justificación afirmativa para cada actividad de tratamiento. Es una arquitectura regulatoria fundamentalmente diferente.
Para las empresas sujetas a ambas leyes, los requisitos de base jurídica del RGPD se convierten efectivamente en la norma dominante, ya que debe establecer una base jurídica para los interesados de la UE independientemente de lo que el CCPA permita.
Aplicación y sanciones
Aplicación del RGPD
La aplicación la llevan a cabo las autoridades de protección de datos (APD) en cada Estado miembro de la UE. En España, la AEPD es especialmente activa. Las sanciones máximas según el artículo 83 son:
- Hasta 10 millones de euros o el 2% del volumen de negocios anual mundial para infracciones menores
- Hasta 20 millones de euros o el 4% del volumen de negocios anual mundial para infracciones graves
Las principales acciones de aplicación han alcanzado cientos de millones de euros. La AEPD ha impuesto sanciones significativas a empresas de todos los tamaños. Las APD también pueden emitir órdenes de cese de tratamiento, prohibir transferencias de datos y exigir medidas correctivas específicas.
Aplicación del CCPA
La aplicación se comparte entre el fiscal general de California y la California Privacy Protection Agency (CPPA):
- Hasta 2.500 $ por infracción no intencional
- Hasta 7.500 $ por infracción intencional o infracción que involucre a menores
- Derecho de acción privada por brechas de datos: 100 $ a 750 $ por consumidor por incidente (daños estatutarios)
Aunque los montos por infracción son inferiores a los máximos del RGPD, el cálculo por registro del CCPA puede producir sanciones agregadas enormes. Una brecha que afecte a 500.000 consumidores californianos podría generar de 50 millones $ a 375 millones $ en daños estatutarios solo por el derecho de acción privada.
Transferencias de datos
RGPD: Las transferencias de datos personales fuera del EEE están restringidas por el capítulo V del RGPD. Las transferencias requieren una decisión de adecuación, cláusulas contractuales tipo (CCT), normas corporativas vinculantes u otro mecanismo de transferencia aprobado. La sentencia Schrems II invalidó el Privacy Shield UE-EE.UU., y el Marco de Protección de Datos UE-EE.UU. que lo reemplazó sigue sujeto a escrutinio jurídico.
CCPA: No hay restricciones sobre transferencias internacionales de datos en el CCPA. La ley regula cómo se recopilan, utilizan, venden y comparten los datos, pero no restringe dónde se almacenan o procesan geográficamente.
Esto significa que una empresa estadounidense que recibe datos de la UE debe cumplir con las normas de transferencia del RGPD (CCT, certificación DPF), pero una empresa que recibe datos californianos puede procesarlos en cualquier lugar sin mecanismos jurídicos adicionales.
Estrategia práctica de cumplimiento para empresas bi-jurisdiccionales
Si su sitio web atiende tanto a usuarios de la UE como de California, aquí tiene un enfoque práctico adaptado a empresas españolas:
1. Comience con el cumplimiento del RGPD. Los requisitos del RGPD son generalmente más estrictos. Una política de privacidad, mecanismo de consentimiento y prácticas de tratamiento de datos conformes al RGPD satisfarán la mayoría de los requisitos del CCPA. Siga las guías de la AEPD y los requisitos de la LSSI para cookies y consentimiento.
2. Añada los elementos específicos del CCPA. Añada las divulgaciones y mecanismos que el CCPA requiere y que el RGPD no: el enlace “No vender ni compartir”, el marco de divulgación en 12 categorías, el opt-out para información personal sensible y la actualización anual con marca de tiempo.
3. Implemente consentimiento basado en geolocalizacion. Use una plataforma de gestion de consentimiento que detecte la ubicacion del usuario y aplique el modelo de consentimiento apropiado: opt-in para visitantes de la UE, derechos de opt-out para visitantes californianos. El banner de cookies gratuito de WebLegal gestiona el consentimiento RGPD y puede servir como base para su enfoque multi-jurisdiccion.
4. Mantenga registros separados. El RGPD requiere registros de actividades de tratamiento (Artículo 30). El CCPA requiere documentación de solicitudes de consumidores y respuestas. Mantenga ambos. En España, la AEPD verifica regularmente la existencia del registro de actividades de tratamiento, como exige también la LOPDGDD.
5. Revise los contratos con proveedores. Asegúrese de que sus contratos con encargados del tratamiento (RGPD) y proveedores de servicios (CCPA) cumplan con los requisitos de ambos marcos. La terminología difiere, pero la obligación subyacente — controlar cómo los terceros manejan los datos de sus usuarios — es la misma.
Conclusión
El RGPD y el CCPA representan dos enfoques distintos de la regulación de la privacidad: el consentimiento integral europeo frente a la transparencia dirigida californiana. Ninguno subsume al otro. Una empresa que atiende usuarios en ambas jurisdicciones necesita una estrategia de cumplimiento que aborde los requisitos de consentimiento del RGPD, el marco de bases jurídicas y las restricciones de transferencia de datos, junto con las categorías de divulgación específicas del CCPA, los mecanismos de exclusión y la estructura de sanciones por infracción.
El coste del doble incumplimiento es sustancial. El coste de construir una estrategia de privacidad unificada que satisfaga ambos marcos es manejable — y muy inferior al riesgo de aplicación de equivocarse. Para las empresas españolas supervisadas por la AEPD y expuestas al CCPA, la prioridad es abordar ambos marcos ahora en lugar de retroactivamente después de una acción de aplicación.