Blog

CTDPA: Guía de Requisitos y Cumplimiento de Scripts de Terceros

Obtén un desglose claro de las normas de la Ley de Privacidad de Datos de Connecticut, los plazos de aplicación y cómo gestionar correctamente los scripts de terceros.

Nov 25, 2025 • 15 min read

Juan Combariza Growth Marketer

connecticut-data-privacy-act-guide-and-third-party-script-compliance

En este artículo:

¿La CTDPA aplica a mi organización?
Dónde ocurren los fallos de cumplimiento de la CTDPA
Cómo garantizar que los scripts de terceros cumplan con la CTDPA
Plazos de la CTDPA

Existe una brecha creciente entre lo que las empresas creen que están haciendo para proteger los datos de los usuarios y lo que leyes de privacidad como la CTDPA (Ley de Privacidad de Datos de Connecticut) realmente exigen. El navegador es el lugar donde cada vez más se recopilan datos personales, pero también donde casi nadie está vigilando. Esa es la brecha en la que los reguladores están poniendo el foco.

Sin monitoreo, los scripts mal configurados o maliciosos pueden acceder a campos sensibles, anular las preferencias de consentimiento o transmitir datos sin haberlos declarado. Si se les preguntara: "¿Los scripts de terceros en su sitio se comportan tal como indica su aviso de privacidad?", la mayoría de las organizaciones no podría dar una respuesta respaldada por evidencia.

Este artículo repasa los requisitos de la CTDPA y muestra cómo incorporar la capa del navegador al cumplimiento antes de que se produzca una infracción.

¿La CTDPA Aplica a Mi Organización?

simplified-criteria-checklist-does-ctdpa-apply-to-my-organization — Lista de verificación simplificada: ¿La CTDPA aplica a mi organización?

La CTDPA sigue el modelo de aplicabilidad al estilo "Virginia/Colorado". Se aplica en función del volumen de datos personales procesados. A continuación se presentan los 2 criterios principales que puedes usar como una lista de verificación sencilla. TODOS estos puntos deben ser verdaderos para que tu empresa quede sujeta a las normas de la CTDPA.

1. Criterio CTDPA: Realizas actividades comerciales en Connecticut O te diriges a residentes de CT

Esto incluye empresas que:

Venden a consumidores de Connecticut, hacen marketing o publicidad dirigida a residentes de CT, operan un sitio web o aplicación que atiende a clientes de CT, o tienen usuarios, suscriptores o clientes en CT.

Esto aplica incluso si la empresa no está físicamente ubicada en Connecticut. "Dirigirse" no requiere una acción de alcance intencional. Si los residentes de Connecticut pueden acceder a tu sitio, recibir tus anuncios o registrarse, es posible que se te considere como realizando actividades comerciales en el estado.

2. Criterio CTDPA: Procesas un volumen significativo de datos de residentes de Connecticut

La CTDPA aplica si, en el año calendario anterior, procesaste:

2 A) Datos personales de 100,000 o más residentes de Connecticut

O

2 B) Datos personales de 25,000 o más residentes Y obtienes el 25% o más de tus ingresos de la venta de datos personales

Analicemos esos umbrales con más detalle:

2 A) (Ampliado) Datos personales de 100,000 o más residentes de Connecticut

Datos personales = cualquier dato vinculado o vinculable a un individuo (incluidas las direcciones IP). Esto es relevante porque un visitante no necesita completar un formulario ni "proporcionar" información de forma explícita para quedar bajo el alcance de la CTDPA. La mayoría de las herramientas de analítica, publicidad y seguimiento recopilan identificadores basados en IP de forma automática.

Este límite excluye:

Datos personales procesados únicamente para completar una transacción de pago

2 B) (Ampliado): Datos personales de 25,000 o más residentes Y obtienes el 25% o más de tus ingresos de la venta de datos personales

Esto afecta principalmente a:

Intermediarios de datos, revendedores de leads y aplicaciones o sitios web de consumo que monetizan información personal

Quiénes están excluidos de los requisitos de la CTDPA:

Organismos gubernamentales, organizaciones sin fines de lucro (exentas), instituciones de educación superior, datos ya regulados por la FCRA, FERPA u otros marcos similares

Sin embargo: incluso las organizaciones exentas deben seguir prácticas de "seguridad razonable". La exposición de datos en el lado del cliente puede seguir siendo una responsabilidad bajo otros mandatos como PCI DSS.

¿Qué es la Ley de Privacidad de Datos de Connecticut?

La Ley de Privacidad de Datos de Connecticut (CTDPA) es una ley de privacidad estatal aprobada para dar a los residentes mayor control sobre cómo las empresas recopilan, usan y comparten sus datos personales. Al igual que el GDPR y la CCPA, el propósito de la CTDPA es otorgar a los consumidores un control significativo sobre sus datos personales. La ley establece obligaciones para las organizaciones que recopilan, usan o comparten datos personales.

La Superficie de Riesgo de Privacidad en el Lado del Cliente

client-side-privacy-compliance-risk-breakdown-cside-1 — Desglose de los factores de riesgo de privacidad y cumplimiento en el lado del cliente

Las leyes de privacidad modernas como la CTDPA aplican a todo el ciclo de vida de los datos, pero el área de mayor riesgo es el propio sitio web. Esta es la capa donde los usuarios interactúan por primera vez con tu negocio y donde los datos personales se recopilan inicialmente, ya sea a través de entradas en formularios o de forma automática por scripts de terceros que no controlas completamente.

Lamentablemente, el lado del cliente (el código que tu empresa sirve a los usuarios cuando interactúan con tu sitio web) es la capa menos protegida en la mayoría de los esquemas de defensa de las empresas. Los servidores están bien asegurados, los empleados reciben formación sobre los procesos de manejo de datos, pero el código que se ejecuta en el navegador del usuario no está monitoreado.

Los scripts de terceros son un riesgo para el cumplimiento de la privacidad:

Los elementos del sitio web interactúan con los datos de los usuarios, y la mayoría de los equipos no tiene ningún control sobre:

Scripts de seguimiento de marketing que se ejecutan antes del consentimiento
Píxeles que recopilan direcciones IP e identificadores sin opción de exclusión
Widgets de chat que procesan documentos y datos de cuentas
Herramientas de pruebas A/B que recopilan metadatos de sesión
Herramientas de marketing que infieren la geolocalización a partir de señales del dispositivo

Los ataques en el lado del cliente son un riesgo de brecha de datos de privacidad:

No todas las brechas de datos son el resultado de alguien que irrumpe en el sistema. Cada vez con más frecuencia, el compromiso ocurre en el navegador: los atacantes inyectan unas pocas líneas de código malicioso en un script de confianza de tu sitio.

De repente, credenciales de inicio de sesión, escaneos de documentos de identidad y números de tarjetas de crédito están siendo capturados directamente desde páginas como las de pago, formularios de incorporación, chatbots o procesos KYC.

Un ejemplo bien conocido de este tipo de ataque es la brecha de British Airways en 2018, que desencadenó una multa de £20 millones. Cubrimos ese incidente en detalle, junto con los ejemplos más recientes, en nuestro análisis en profundidad sobre los mayores ataques Magecart.

Una plataforma de seguridad en el lado del cliente detecta y previene estos ataques.

¿Son suficientes los banners de cookies para cumplir con la CTDPA?

Los banners de cookies capturan las preferencias de los usuarios, pero no siempre las aplican de forma completa. En la práctica, hay varios puntos donde los banners se quedan cortos:

Integraciones incorrectas o incompletas entre los banners de cookies y gestores de etiquetas como Google Tag Manager
Banners que bloquean accidentalmente scripts esenciales, como formularios o herramientas de chat de soporte
Scripts mal configurados o maliciosos que ignoran las selecciones de consentimiento del usuario

Algunos proveedores de banners de cookies intentan resolver estos problemas, pero la mala configuración sigue siendo habitual. E incluso cuando se implementan correctamente, los banners de cookies no están diseñados para prevenir ataques en el lado del cliente. Esa brecha conduce a la falta de "medidas de seguridad razonables", que ha sido la alegación citada con mayor frecuencia en las demandas de privacidad bajo leyes similares como la CCPA.

Dónde Ocurren los Fallos de Cumplimiento de la CTDPA

where-ctdpa-compliance-failures-happen-infographic — Infografía: Los fallos de cumplimiento de la CTDPA más comunes

1. Incumplimiento de los derechos del consumidor (acceso/eliminación/exclusión)

La exclusión debería detener todo el procesamiento de los datos personales del usuario. En la práctica, la elección del usuario debe respetarse a través de múltiples capas:

Scripts del lado del cliente, herramientas de analítica, servicios de reproducción de sesiones, gestores de etiquetas y plataformas publicitarias

En el lado del cliente, esto suele fallar. Las empresas creen haber respetado la exclusión, pero:

El usuario se excluye en un banner de cookies pero los scripts siguen ejecutándose
Las herramientas de analítica de "reproducción de sesiones" siguen capturando información sensible
Las "cookies" están bloqueadas pero los scripts siguen funcionando
Los gestores de etiquetas anulan la configuración de consentimiento de cookies

Respetar los derechos de la CTDPA requiere garantizar que los scripts del lado del cliente realmente dejen de recopilar o compartir datos. Esto solo es posible con herramientas que puedan observar y aplicar el comportamiento de los scripts directamente en el navegador.

2. Recopilación no monitoreada

Una de las mayores brechas en el cumplimiento se produce cuando las organizaciones no saben realmente qué datos se están recopilando en su sitio web. Los scripts van y vienen mientras los proveedores actualizan su código sin previo aviso. La mayoría de las organizaciones no podría listar todos los scripts que se ejecutan en su sitio hoy en día, y mucho menos explicar a qué acceden.

3. Incumplimiento de la obligación de implementar "medidas de seguridad razonables"

pie-chart-ccpa-court-cases-privacy-compliance-cside — Gráfico circular que muestra la distribución de casos judiciales de cumplimiento de privacidad que desencadenan acciones legales

Fuente: CCPA Litigation Tracker, Perkins Coie

Según el CCPA Litigation Tracker de Perkins Coie, que analiza todos los casos judiciales presentados públicamente bajo la CCPA (un marco de privacidad similar que lleva mucho más tiempo en vigor), la gran mayoría de las demandas se originan en un mismo problema:

"una alegación de supuesto incumplimiento de la obligación de implementar medidas de seguridad razonables que resultó en una brecha de datos"

El lado del cliente se ha convertido en la superficie de ataque más activa, con grandes organizaciones sufriendo brechas provocadas por scripts maliciosos (véase: ataques a Ticketmaster y British Airways). En muchos de estos incidentes, las empresas creían estar "cubiertas" por herramientas de cumplimiento que solo gestionan banners o políticas, no la seguridad real del navegador.

La protección real en el lado del cliente debe detectar y prevenir ataques como:

Formjacking, secuestro de sesiones y e-skimming

Estos ataques capturan datos de los consumidores directamente desde el navegador, lo que significa que los atacantes nunca necesitan irrumpir en tu entorno interno.

4. Divulgaciones de privacidad inexactas o incompletas

La CTDPA exige que las organizaciones divulguen claramente qué datos personales recopilan, por qué los recopilan y qué terceros reciben esa información.

En la práctica, muchas divulgaciones de privacidad son incompletas simplemente porque los equipos no tienen visibilidad completa de cada script, formulario o herramienta externa que opera en su sitio web.

Realizar un inventario de scripts (por ejemplo, mediante un escaneo gratuito con un rastreador) puede ayudar a establecer una imagen de referencia de los scripts que deben declararse.

Requisitos Clave de la CTDPA (Ley de Privacidad de Datos de Connecticut)

Derechos del Consumidor

Las organizaciones deben dar a los usuarios la posibilidad de:

Excluirse
Acceder a sus datos personales
Corregir inexactitudes en sus datos personales
Eliminar sus datos personales
Solicitar una copia portátil de sus datos

Avisos de Privacidad y Transparencia

Las organizaciones deben proporcionar un aviso de privacidad claro que explique qué datos personales se recopilan, por qué se recopilan y cómo los usuarios pueden ejercer sus derechos. Esta lista también debe incluir qué terceros reciben su información. Las divulgaciones deben mantenerse actualizadas cuando cambien las prácticas de datos.

Consentimiento para Datos Sensibles

La CTDPA exige consentimiento afirmativo de inclusión voluntaria antes de procesar datos personales sensibles, incluidos: información de salud, identificadores biométricos, geolocalización precisa o datos de menores.

Minimización de Datos

Bajo la CTDPA, las empresas deben limitar la recopilación de datos personales a lo que genuinamente se necesita para el propósito declarado. No pueden recopilar información excesiva ni usar los datos para fines nuevos o no relacionados sin obtener un nuevo consentimiento.

Para una lista exhaustiva de requisitos, visita nuestra sección de recursos oficiales, que te dirigirá a la documentación oficial de la ley de privacidad.

Recursos Oficiales y Enlaces Gubernamentales

Ley de Privacidad de Datos de Connecticut (Oficina del Fiscal General):

https://portal.ct.gov/ag/sections/privacy/the-connecticut-data-privacy-act

Esta es la página de la CTDPA publicada por el Fiscal General de Connecticut, la principal autoridad de aplicación de la ley. Proporciona orientación oficial, actualizaciones y recursos emitidos por el estado.

Proyecto de Ley del Senado Oficial – Ley Pública No. 22-15 (2022)

https://www.cga.ct.gov/2022/act/pa/pdf/2022PA-00015-R00SB-00006-PA.pdf#:~:text=(NEW)%20(Effective%20July%201%2C%202023)%20The%20provisions,revenue%20from%20the%20sale%20of%20personal%20data.

Este es el texto completo de la Ley de Privacidad de Datos de Connecticut tal como fue promulgada por la legislatura estatal en 2022.

Plazos de la CTDPA

La CTDPA se ha implementado por fases, con obligaciones adicionales incorporadas a lo largo del tiempo mediante enmiendas. A continuación se presentan las fechas clave que la mayoría de los equipos deben conocer (para el panorama completo y siempre actualizado, consulta la sección de Recursos Oficiales).

10 de mayo de 2022 – La CTDPA es promulgada. Connecticut aprueba su ley de privacidad integral como Proyecto de Ley del Senado 6 / Ley Pública 22-15.
1 de julio de 2023 – La ley entra en vigor. Se espera que los responsables del tratamiento y los encargados que cumplan los umbrales cumplan con la ley a partir de esta fecha, con el Fiscal General de Connecticut como autoridad de aplicación.
1 de julio de 2023 – 31 de diciembre de 2024 – Período de aplicación con "derecho a subsanar". Durante este período, el Fiscal General debe dar a las empresas una oportunidad de 60 días para subsanar una infracción antes de tomar medidas, si la subsanación es posible.
1 de octubre de 2023 – 1 de octubre de 2024 – Entrada en vigor gradual de enmiendas sobre salud y menores. Nuevas disposiciones sobre datos de salud del consumidor, aplicaciones de citas y servicios en línea utilizados por menores entran en vigor en varias fechas a finales de 2023 y 2024.
1 de enero de 2025 – Se respetan las señales universales de exclusión (p. ej., GPC). Los consumidores de Connecticut pueden enviar señales de preferencia de exclusión a nivel de navegador (como Global Privacy Control), y se espera que los responsables sujetos a la CTDPA las respeten.
1 de julio de 2025 – Las evaluaciones de protección de datos aplican al nuevo procesamiento de alto riesgo. Los requisitos de evaluación se aplican a las actividades de procesamiento creadas o generadas a partir de esta fecha.
31 de diciembre de 2025 – Expira el derecho legal a subsanar. Después de esta fecha, el Fiscal General ya no está obligado a ofrecer un período de subsanación de 60 días, aunque puede seguir haciéndolo a su discreción.
1 de julio de 2026 en adelante – Entran en vigor enmiendas adicionales. Las enmiendas aprobadas en 2025 (SB 1295) introducen más cambios, incluidos umbrales actualizados y requisitos de evaluación de impacto, con la mayoría de los cambios efectivos a partir de mediados de 2026.

Cómo cside Ayuda a las Organizaciones a Lograr el Cumplimiento de la CTDPA

Visibilidad sobre los Flujos de Datos en el Lado del Cliente

cside revela qué scripts recopilan datos personales, qué recopilan y a dónde van. Los equipos de privacidad obtienen la visibilidad necesaria para publicar divulgaciones precisas.

Minimización de Datos a Nivel de Script

La mayoría de los sitios web recopilan más datos de los que pretenden, simplemente porque los scripts evolucionan con el tiempo. cside identifica cuándo un script comienza a recopilar más información de la que debería, ayudando a los equipos a mantener la recopilación bien delimitada.

Medidas de Seguridad Razonables

cside detecta scripts maliciosos o manipulados, cambios sospechosos en el código del lado del cliente y comportamientos de skimming de datos en la capa del navegador. Esto respalda el requisito de la CTDPA de implementar medidas de seguridad razonables y previene posibles brechas de datos.

Validación del Comportamiento de Terceros

El monitoreo en tiempo real garantiza que los encargados del tratamiento de terceros cumplan con tus obligaciones de privacidad en lugar de incumplirlas involuntariamente en tu nombre.

Registros y Evidencia Listos para Auditoría

cside proporciona un panel de control y registros históricos detallados que muestran la actividad de los scripts junto con las medidas de manejo de datos. Esto brinda a los equipos de privacidad la evidencia forense que necesitan para demostrar el cumplimiento de la CTDPA durante auditorías o investigaciones.

Preguntas Frecuentes

¿La CTDPA aplica a empresas ubicadas fuera de Connecticut?

Sí. La CTDPA aplica a cualquier organización que procese datos de residentes de Connecticut y cumpla con los umbrales de volumen, independientemente de dónde esté físicamente ubicada la empresa.

¿Son suficientes los banners de cookies para cumplir con los requisitos de consentimiento de la CTDPA?

En la mayoría de los casos, no. Los banners de cookies capturan preferencias y gestionan cookies, pero la CTDPA exige aplicación a nivel de script y medidas de seguridad razonables que puedan prevenir ataques que expongan datos personales.

¿Qué se considera "medidas de seguridad razonables" bajo la CTDPA?

Las organizaciones deben proteger los datos personales contra el acceso no autorizado, incluidos los riesgos en el lado del cliente, como scripts mal configurados, herramientas de terceros no monitoreadas y ataques de skimming.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Sí. La CTDPA aplica a cualquier organización que procese datos de residentes de Connecticut y cumpla con los umbrales de volumen, independientemente de dónde esté físicamente ubicada la empresa.

En la mayoría de los casos, no. Los banners de cookies capturan preferencias y gestionan cookies, pero la CTDPA exige aplicación a nivel de script y medidas de seguridad razonables que puedan prevenir ataques que expongan datos personales.

Las organizaciones deben proteger los datos personales contra el acceso no autorizado, incluidos los riesgos en el lado del cliente, como scripts mal configurados, herramientas de terceros no monitoreadas y ataques de skimming.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.