+27 regulaciones globales
en un solo panel.

General Data Protection Regulation

El marco de privacidad más influyente del mundo. Regula el tratamiento de datos personales de residentes en la UE con alcance extraterritorial. Define el consentimiento válido (Art. 4.11 y 7), los derechos del titular y la obligación de documentar cada consentimiento.

• Consentimiento previo, libre, específico, informado e inequívoco
• Granularidad por categoría de propósito
• Igual de fácil revocar que otorgar
• Registro de prueba de consentimiento
• Sin pre-checks ni dark patterns

ePrivacy Directive

La directiva específica de cookies. El Art. 5.3 exige consentimiento previo para instalar o leer cookies no esenciales. Complementa al GDPR y es técnicamente la norma que activa el banner de cookies.

• Consentimiento previo a la instalación de cookies (opt-in)
• Exención: cookies de sesión, autenticación y seguridad
• No exención: analytics, publicidad y redes sociales
• Local Storage y fingerprinting también cubiertos

UK GDPR & Data Protection Act 2018

Post-Brexit, el Reino Unido adoptó su propio GDPR con la DPA 2018. Prácticamente idéntico al GDPR en requisitos de consentimiento. El ICO prohíbe explícitamente cookie walls y dark patterns.

• Mismos estándares de consentimiento que GDPR
• ICO requiere banner claro y equilibrado
• Prohibición explícita de cookie walls
• Registro de consentimiento obligatorio

Ley de Servicios de la Sociedad de la Información

Transposición española de la ePrivacy Directive. La AEPD ha publicado guías detalladas sobre implementación de cookies, prohibición de cookie walls y el estándar de «acción positiva» para el consentimiento.

• Consentimiento previo e informado para cookies no exentas
• Panel de configuración granular
• Acceso sin aceptar cookies opcionales
• Información de terceros en el banner

Ley Estatutaria 1581 de 2012

La ley de habeas data de Colombia. Regula el tratamiento de datos personales y es aplicable a cualquier empresa que procese datos de ciudadanos colombianos. Requiere autorización previa, expresa e informada del titular.

• Autorización previa, expresa e informada
• Finalidad específica del tratamiento
• Derechos ARCO garantizados
• Política de tratamiento de datos publicada

Decreto Único Reglamentario 1074 de 2015

Compila y reglamenta la Ley 1581/2012. Define las responsabilidades concretas de responsables y encargados del tratamiento en Colombia, incluyendo plazos de respuesta a solicitudes y medidas de seguridad.

• Aviso de privacidad obligatorio antes de recoger datos
• 15 días hábiles para responder derechos
• Medidas técnicas y organizativas de seguridad
• Transferencias internacionales solo a países con nivel adecuado

Lei Geral de Proteção de Dados

La GDPR de Brasil. Regula el tratamiento de datos de personas en territorio brasileño con alcance extraterritorial. Define 10 bases legales para el tratamiento. El consentimiento debe ser libre, informado e inequívoco.

• Consentimiento libre, informado e inequívoco
• Finalidad, duración y terceros informados
• Derecho a retirar consentimiento fácilmente
• RIPD para tratamientos de alto riesgo

Ley 25.326 de Protección de Datos Personales

Una de las primeras leyes de privacidad de LATAM, reconocida por la UE como adecuada. Próxima reforma legislativa alineándola con GDPR en curso. Requiere consentimiento y registro de bases de datos ante la AAIP.

• Consentimiento previo al tratamiento
• Información sobre responsable y finalidad
• Derechos ARCO garantizados
• Registro de base de datos ante AAIP

Ley Federal de Protección de Datos Personales

Regula el tratamiento de datos personales por particulares en México. Requiere Aviso de Privacidad con información específica antes de recoger datos. Aplica a cualquier empresa que trate datos de mexicanos.

• Aviso de Privacidad previo a la recolección
• Datos sensibles requieren consentimiento expreso y por escrito
• Derechos ARCO en 20 días hábiles
• Aviso simplificado en el banner

California Privacy Rights Act

Evolución del CCPA. Añade nuevos derechos, crea la CPPA como autoridad independiente e introduce el concepto de «compartir» datos para publicidad. GPC debe ser honrado como opt-out de venta y compartición.

• Honrar Global Privacy Control (GPC) automáticamente
• Opt-out de venta y compartición de datos
• Enlace «Do Not Sell or Share» requerido
• Opt-in para menores de 16 años

Virginia Consumer Data Protection Act

Primera ley de privacidad completa del este de EE.UU. Similar al GDPR en estructura. Aplica a empresas que procesan datos de +100.000 virginianos. Opt-out de procesamiento para publicidad dirigida.

• Opt-out de publicidad dirigida y venta de datos
• Consentimiento para datos sensibles
• DPIA para procesamiento de alto riesgo
• Aviso de privacidad claro

Colorado Privacy Act

Ley de Colorado con énfasis en universal opt-out mechanisms. Obliga a honrar señales de opt-out universales (GPC obligatorio desde julio 2024). Evaluaciones de impacto para actividades de alto riesgo.

• GPC obligatorio como señal de opt-out
• Opt-out de publicidad dirigida y venta
• Opt-in para datos sensibles
• DPIA requerida para publicidad dirigida

Connecticut Data Privacy Act

Vigente desde julio 2023. Requiere honrar señales de opt-out universales. Incluye derecho a corregir datos inexactos. Aplica a empresas que procesan datos de +100.000 residentes.

• Honrar señales de opt-out universales
• Opt-out de publicidad dirigida y venta
• Consentimiento opt-in para datos sensibles
• Sin cookie walls para residentes

Utah Consumer Privacy Act

Aplica a empresas con +$25M de ingresos que procesan datos de +100.000 residentes. La más permisiva de las leyes estatales: solo opt-out, sin DPIA obligatoria.

• Opt-out de publicidad dirigida y venta de datos
• Aviso de privacidad claro
• Sin DPIA obligatoria

Montana Consumer Data Privacy Act

Vigente desde octubre 2024. Aplica a empresas que procesan datos de +50.000 residentes de Montana. Incluye derecho a corregir y portabilidad. Modelo similar a Virginia/Colorado.

• Opt-out de publicidad dirigida, venta y profiling
• Opt-in para datos sensibles
• DPIA para actividades de alto riesgo
• Aviso de privacidad con información de terceros

Texas Data Privacy and Security Act

Vigente desde julio 2024 en Texas, el segundo estado más poblado de EE.UU. Sin umbral mínimo de tamaño (solo excluye PYMES <$25M). Uno de los alcances más amplios entre las leyes estatales.

• Opt-out de publicidad dirigida, venta y profiling
• Honrar señales de opt-out reconocidas (GPC)
• Consentimiento opt-in para datos sensibles
• DPIA para actividades de alto riesgo

Personal Data Protection Act B.E. 2562

Primera ley integral de protección de datos de Tailandia con alcance extraterritorial similar al GDPR. Vigente desde junio 2022. Requiere consentimiento explícito para cookies no esenciales.

• Consentimiento explícito antes de instalar cookies no esenciales
• Información clara sobre finalidad y duración
• Derecho a retirar consentimiento
• Registro de actividades de tratamiento

Personal Data Protection Act 2012 (Amendment 2021)

Ley de privacidad de Singapur actualizada en 2021. Introduce consentimiento «deemed» para datos públicamente disponibles y obliga a notificación de brechas en 3 días.

• Consentimiento para cookies no esenciales
• Notificación de brechas en 3 días a PDPC
• Opt-out de marketing directo

Act on the Protection of Personal Information

Reformado en 2022 con obligaciones de notificación de brechas, restricciones a transferencias internacionales y nuevos derechos. Los cookies de terceros para tracking publicitario requieren consentimiento.

• Consentimiento para tracking de terceros con datos personales
• Información sobre propósito de uso antes de recoger datos
• Notificación de brechas a PPC y titulares

Personal Information Protection Law

La GDPR china. Vigente desde noviembre 2021 con alcance extraterritorial. Requiere consentimiento separado para cada propósito. El almacenamiento de datos de chinos debe localizarse en China.

• Consentimiento separado por propósito
• Opt-in obligatorio para publicidad personalizada
• Localización de datos para información personal importante
• Evaluaciones de impacto para transferencias internacionales

Digital Personal Data Protection Act

La nueva ley de protección de datos de India, aprobada en agosto 2023. Requiere consentimiento libre, específico, informado e inequívoco. Sanciones de hasta ₹250 crore (~$30M USD).

• Consentimiento explícito e inequívoco
• Aviso de privacidad en lenguaje simple
• Derecho a retirar consentimiento fácilmente
• Consentimiento parental para menores de 18 años

Privacy Act 1988 (Amendment 2024)

Actualizado en 2024 con nuevos derechos: acceso, portabilidad y supresión. Las cookies de analytics se consideran «información personal» si pueden vincularse a un individuo.

• Consentimiento para cookies que recojan información personal
• Política de privacidad clara con información de cookies
• Opt-out de marketing directo
• Derecho a supresión para datos de tracking

Protection of Personal Information Act

La ley de privacidad más robusta de África. Vigente desde julio 2021. Similar al GDPR, define condiciones de tratamiento legítimo y derechos del titular. El procesamiento de información personal requiere autorización.

• Autorización del interesado para cookies de tracking
• Información sobre responsable y propósito
• Derechos de acceso, rectificación y supresión
• Notificación de brechas al regulador y titulares

Kişisel Verilerin Korunması Kanunu

La ley de protección de datos turca, inspirada en la Directiva 95/46/CE. Requiere consentimiento explícito para el tratamiento de datos personales. Las guías del KVKK exigen banner con granularidad por categoría.

• Consentimiento explícito antes de cookies no esenciales
• Banner con categorías diferenciadas
• Registro de actividades de tratamiento ante KVKK

Personal Data Protection Law

Primera ley integral de privacidad de Arabia Saudita, en vigor desde septiembre 2023. Alcance extraterritorial. Requiere consentimiento para datos personales con énfasis en localización de datos.

• Consentimiento para tratamiento de datos vía cookies
• Aviso de privacidad en árabe
• Restricciones a transferencias fuera de Arabia Saudita

UAE Federal Data Protection Law

La primera ley federal de privacidad de los EAU, vigente desde 2022. Aplica en todo el territorio federal. Requiere base legal para el tratamiento de datos personales incluyendo cookies.

• Consentimiento u otra base legal para cookies de tracking
• Aviso de privacidad accesible
• Derechos de acceso, rectificación y supresión

Personal Information Protection and Electronic Documents Act / Law 25

PIPEDA + Quebec Law 25 (2022) que actualiza dramáticamente las obligaciones. Law 25 exige consentimiento explícito y granular para cookies no esenciales en Quebec, con estándares cercanos al GDPR.

• Consentimiento explícito y granular (Law 25 Quebec)
• Aviso al inicio del sitio antes de instalar cookies
• GPC honrado como opt-out en Quebec
• Política de confidencialidad en francés para Quebec