La Ley de Privacidad del Consumidor de Oregón, promulgada mediante el Proyecto de Ley Senatorial 619 en junio de 2023, entró en vigor el 1 de julio de 2024, con un plazo de aplicación a partir de enero de 2026. Regula la forma en que las empresas gestionan los datos personales de los residentes de Oregón y les otorga sólidos derechos de privacidad.
Las responsabilidades clave incluyen:
Reconocer si usted es responsable del tratamiento (decide el uso de los datos) o encargado del tratamiento (actúa en nombre de un responsable del tratamiento).
Ofrecer una política de privacidad clara que abarque las categorías de datos, los fines, la compartición con terceros, los derechos del consumidor, la información de contacto, la elaboración de perfiles y las opciones de exclusión relacionadas.
Recopilar únicamente los datos necesarios y protegerlos con medidas administrativas, técnicas y físicas razonables.
Realizar evaluaciones de protección de datos al procesar datos sensibles, participar en la elaboración de perfiles, la publicidad dirigida o la venta de datos personales.
Establecer contratos entre responsables del tratamiento y encargados del tratamiento que reflejen las obligaciones de la OCPA.
Las empresas deberían:
Realizar una auditoría:
Realizar una auditoría completa de las prácticas de recopilación e intercambio de datos e identificar los datos personales recopilados y sus propósitos.
Actualizar la política de privacidad:
Revise y actualice las políticas de privacidad y cookies con las divulgaciones específicas de la OCPA
Implementar la gestión del consentimiento:
Implementar banners de consentimiento de cookies y flujos de exclusión voluntaria para automatizar la captura del consentimiento y la gestión de preferencias.
Garantizar los derechos de los consumidores:
Establecer mecanismos para responder a las solicitudes de derechos de los consumidores en un plazo de 45 días
Realizar evaluaciones de protección de datos:
Proteger la privacidad con respecto a la publicidad dirigida, la venta de datos, la elaboración de perfiles o el procesamiento de datos confidenciales.
La OCPA se aplica si, durante un año calendario, su empresa procesa datos personales de 100,000 o más consumidores de Oregón (excluyendo datos de pago), o procesa datos de más de 25,000 consumidores y obtiene más del 25% de sus ingresos por la venta de datos.
Se aplica a entidades que operan en Oregón o prestan servicios a sus residentes; esto incluye a las organizaciones sin fines de lucro, cuya fecha límite de cumplimiento se extendió hasta el 1 de julio de 2025.
Las exenciones incluyen agencias gubernamentales, instituciones financieras bajo la GLBA, entidades cubiertas por la HIPAA, organizaciones educativas y de interés público sin fines de lucro (por ejemplo, organizaciones de prevención del fraude y asociaciones de prensa).
La ley garantiza a los residentes de Oregón estos derechos:
Los consumidores pueden acceder y confirmar el procesamiento de datos personales
Los consumidores pueden solicitar la corrección de inexactitudes
Los consumidores pueden solicitar que se eliminen sus datos personales
Los consumidores tienen derecho a portar/descargar/transmitir su información en un formato utilizable
Los consumidores pueden optar por no participar en la venta de datos personales, la publicidad dirigida y la elaboración de perfiles que produzcan efectos legales/significativos.
Los consumidores pueden saber qué terceros han recibido sus datos y confirmar si una entidad los está procesando
Los responsables del tratamiento deben responder en un plazo de 45 días, con una posible prórroga de 45 días adicionales, y deben explicar cualquier denegación con instrucciones para apelar. Los padres deben dar su consentimiento para el tratamiento de datos de menores de 13 años, de conformidad con la COPPA.
Las cookies que facilitan el seguimiento de datos sensibles, la publicidad dirigida o el intercambio de datos se rigen por la OCPA. Las empresas deben:
Informar claramente a los usuarios mediante avisos publicitarios
Obtener el consentimiento explícito para las cookies no esenciales
Ofrecer un mecanismo sencillo para optar por no usarlas y revocar el consentimiento
Según la OCPA, las empresas deben implementar avisos publicitarios o interfaces de consentimiento claros cuando se utilicen cookies para publicidad dirigida, elaboración de perfiles o intercambio de datos, incluyendo el consentimiento de cookies específicamente diseñado para los residentes de Oregón. El aviso debe informar claramente a los usuarios sobre los tipos de cookies que se utilizan, permitir la aceptación o la revocación, y permitir a los usuarios revocar el consentimiento fácilmente.
El Fiscal General de Oregón hace cumplir la OCPA. Tras identificar una infracción, puede emitir un aviso de subsanación con 30 días de antelación; a partir del 1 de enero de 2026, las infracciones pueden resultar en multas civiles de hasta 7500 USD por infracción, más honorarios legales. No existe derecho de acción privada; solo se permite la aplicación de la ley por parte del Fiscal General.
Además de realizar ciertas acciones para cumplir con la OCPA Oregon, las organizaciones también deben adherirse a las mejores prácticas de privacidad de datos, como:
Auditoría:
Realizar una auditoría de datos para identificar todas las cookies y rastreadores en sus sitios web
Clasificar por categorías:
Categorizar las cookies (por ejemplo, necesarias, de preferencia, analíticas, de marketing)
Implementar la gestión del consentimiento:
Asegúrese de que los banners de consentimiento se implementen correctamente con opciones granulares, permitan a los usuarios retirar el consentimiento en cualquier momento y mantengan registros de consentimiento.
Consultar contratos con terceros:
Revisar las prácticas de intercambio de datos de terceros
Una plataforma de gestión de consentimiento como CookieHub automatiza los banners de cookies, los flujos de suscripción y los registros de consentimiento, lo que facilita considerablemente el cumplimiento de las obligaciones de banners, consentimiento y retiro de la OCPA.
Se aplica a entidades que realizan negocios o prestan servicios a residentes de Oregón y cumplen con los siguientes umbrales: ≥100 000 consumidores o ≥25 000 + 25 % de ingresos por ventas de datos.
Cualquier dato que pueda razonablemente vincularse a un individuo: nombres, correos electrónicos, ID de dispositivos, geolocalización, hábitos de navegación, etc.
Origen racial/étnico, religión, salud, datos biométricos/genéticos, orientación sexual, geolocalización precisa, ciudadanía, condición de víctima de un delito, condición de transgénero y datos de niños menores de 13 años.
La aplicación de la ley recae exclusivamente en la Oficina del Fiscal General de Oregón.
Organismos gubernamentales, entidades cubiertas por HIPAA/GLBA, ciertas organizaciones sin fines de lucro (prevención de fraude, informes de difusión), datos relacionados con el empleo, datos desidentificados disponibles públicamente.
Visite el sitio de Privacidad del Consumidor del Departamento de Justicia de Oregón para obtener información más detallada sobre el cumplimiento y la aplicación de la OCPA.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
