Loading…
El GDPR y la CCPA/CPRA son los dos marcos de privacidad más citados del mundo. A primera vista parecen similares, pero divergen marcadamente en cuanto al alcance extraterritorial, la base legal para el tratamiento, la arquitectura de opt-in frente a opt-out, los plazos de notificación de brechas y la severidad de las sanciones. Esta guía le ofrece la comparación precisa a la que recurrirá cualquier equipo de privacidad.
| Dimensión | 🇪🇺 GDPR | 🇺🇸 CCPA |
|---|---|---|
| Instrumento legal | Reglamento (UE) 2016/679 | Cal. Civ. Code § 1798.100 et seq. (CCPA, modificada por la CPRA, 2020) |
| Fecha de entrada en vigor | 25 may 2018 | CCPA: 1 ene 2020; refuerzo de la CPRA: 1 ene 2023 |
| Ámbito territorial | Cualquiera que trate datos personales de personas en la UE (Art. 3 — extraterritorial) | Empresas con fines de lucro que operan en California y cumplen los umbrales (§1798.140(d)) |
| Umbral de aplicabilidad Cualquier desencadenante | Cualquier responsable/encargado — sin umbral mínimo de ingresos/volumen | $25M de ingresos O más de 100K consumidores/hogares de CA O más del 50 % de los ingresos por venta/compartición de IP |
| Modelo de consentimiento | Opt-in para la mayoría de los tratamientos (Art. 6) | Opt-out de la venta o compartición; opt-in para menores de 16 años |
| Base legal requerida | Sí — una de seis (Art. 6) o condición de categoría especial (Art. 9) | Sin base legal formal; «finalidad comercial» + aviso en la recopilación |
| Datos sensibles | Los datos de categorías especiales (Art. 9) requieren consentimiento explícito + salvaguardas | IP sensible (CPRA §1798.140(ae)) — derecho a limitar, no restricción absoluta |
| Notificación de brechas | 72 horas a la Autoridad de Control (Art. 33); a los interesados afectados sin dilación indebida si hay alto riesgo | Sin plazo específico; «en el menor tiempo posible» conforme al Cal. Civ. Code §1798.82 |
| Multa máxima | €20M o el 4 % de la facturación anual global, lo que sea mayor (Art. 83(5)) | $2,500 por infracción no intencional / $7,500 por infracción intencional o relacionada con menores (por registro) |
| Regulador | 27 APD de los Estados miembros de la UE + EDPB (ventanilla única) | Agencia de Protección de la Privacidad de California (CPPA) + Fiscal General de California |
| Requisito de DPO | Obligatorio en casos definidos (Art. 37) | No obligatorio; requisito de evaluación de riesgos para los SDF |
| Representante local | Representante en la UE del Artículo 27 requerido para responsables/encargados fuera de la UE | No requerido; presencia física no obligatoria |
| Plazo de respuesta a la DSAR | 1 mes + prórroga de 2 meses para solicitudes complejas (Art. 12(3)) | 45 días, prorrogables por 45 días más (§1798.130) |
| Transferencia transfronteriza | Restringida — se requieren SCCs/BCR/adecuación (Capítulo V) | Sin restricción explícita; salvaguardas contractuales conforme a la legislación sectorial |
| Derecho de acción privada | Sí — Art. 79 (limitado) + indemnización del Art. 82 | Solo para brechas de datos conforme al §1798.150 |
| Datos de menores | Edad de consentimiento predeterminada inferior a 16 años (los Estados miembros pueden reducirla a 13) | Opt-in para venta/compartición de menores de 16 años; los menores de 13 requieren autorización parental |
| Derecho de supresión | Derecho de supresión (Art. 17) con excepciones | Derecho a eliminar (§1798.105) con excepciones |
| Derecho a saber/acceder | Art. 15 — confirmación + copia | §1798.110 + §1798.115 — divulgación de categorías e IP específica |
| Derecho de exclusión (opt-out) | Oponerse al tratamiento basado en intereses legítimos o marketing directo (Art. 21) | Opt-out de la venta o compartición de IP (§1798.120); debe respetarse el GPC |
| Derecho a la portabilidad | Art. 20 — estructurado, de uso común y legible por máquina | Derecho a recibir en un formato portátil (§1798.100(d)) |
Sí, si se dirige tanto a personas de la UE como a consumidores de California. Comparten requisitos básicos que se solapan (aviso, acceso, supresión) pero divergen en cuanto al consentimiento, los plazos de brechas y la territorialidad. Un único conjunto de controles mapeado funciona para ambos.
Materialmente, sí. El GDPR exige una base legal para cada actividad de tratamiento, impone la notificación de brechas en 72 horas, restringe las transferencias transfronterizas y prevé multas sin tope basadas en los ingresos. La CCPA/CPRA tiene un enfoque más de opt-out y sanciones por infracción en lugar de por facturación, pero el acuerdo de $1.2B de Meta demuestra que la exposición agregada puede igualar a la del GDPR.
No. El Artículo 3 del GDPR se aplica de forma extraterritorial. Si ofrece bienes o servicios a personas en la UE o supervisa su comportamiento, está dentro del ámbito y debe designar un Representante en la UE conforme al Artículo 27.
No existe un equivalente formal. La CCPA no exige un representante local designado. Sin embargo, los datos financieros o de salud sensibles pueden invocar regímenes federales paralelos (HIPAA, GLBA) con sus propios requisitos de punto de contacto.
GDPR: 72 horas a la Autoridad de Control principal. CCPA: «el menor tiempo posible» sin un plazo fijo, aunque los abogados de los demandantes en las acciones colectivas del §1798.150 argumentan que cualquier plazo superior a unos pocos días es irrazonable.
Sí, y así debería ser. Construya un único canal de solicitudes verificables del consumidor y mapee los resultados tanto a las divulgaciones del Artículo 15 del GDPR como a las del §1798.110 de la CCPA. Solo mantenga el plazo en la ventana más corta (1 mes para residentes de la UE, 45 días para residentes de California).
Mapea los controles una vez y cumple dos veces. RegulatoryBridge te ofrece un único flujo de DSAR, un único DPO y un único manual de respuesta ante brechas, abarcando ambos marcos.