Blog

¿Se aplica el RGPD a mi empresa en EE. UU.? (Autoevaluación en 3 pasos)

El RGPD puede aplicarse a tu sitio web aunque estés basado en EE. UU. Usa esta lista de verificación de 3 pasos para saber si estás en riesgo y cuáles son las posibles sanciones económicas.

Jan 08, 2026 • 15 min read

Juan Combariza Growth Marketer

Does-gdpr-apply-to-u-s-companies-self-assessment

TL;DR

El RGPD se aplica a cualquier empresa que dirija intencionalmente su oferta a residentes de la UE o que monitoree su comportamiento en línea. Además, un "establecimiento en la UE", como un empleado o una oficina con presencia permanente en la UE, puede activar la elegibilidad bajo el RGPD.
Aunque el RGPD se aplica a un conjunto más amplio de empresas de lo que muchos creen, las autoridades reguladoras de la UE tienen una autoridad limitada para sancionar directamente a empresas que operan exclusivamente en EE. UU. o fuera de la UE. En estos casos, los reguladores suelen emitir advertencias o directrices correctivas en lugar de sanciones económicas.
Las leyes de privacidad estatales de EE. UU. (como la CCPA) están adoptando expectativas similares a las del RGPD en materia de seguridad ante brechas de datos, transferencias transfronterizas de datos y responsabilidad empresarial vinculada al tratamiento de datos por parte de scripts de terceros.
El uso de herramientas de análisis, mapas de calor o píxeles publicitarios que rastrean a visitantes de la UE en línea se considera monitoreo y puede activar los requisitos de cumplimiento del RGPD.

Lista de verificación de autoevaluación - ¿Se aplica el RGPD a mi sitio web?

Visitantes de todo el mundo acceden a tu sitio web, lo que hace difícil entender qué leyes de privacidad te aplican y cuáles conllevan una posibilidad real de sanciones económicas. La aplicabilidad del RGPD no depende de dónde estés constituido. Lo que importa es si estás tratando datos personales de ciudadanos de la UE y qué haces con ellos.

Todo sitio web trata datos personales de maneras que no siempre son evidentes. Piensa en formularios que recopilan nombres y correos electrónicos, o en scripts de terceros que envían datos a servidores que quizás ni conoces. Cada uno representa una responsabilidad de cumplimiento del RGPD si involucra datos de residentes de la UE.

Este artículo ofrece una lista de verificación clara para ayudarte a determinar si estás dentro del alcance del RGPD.

¿Se aplica el RGPD a mi sitio web? (Criterios de elegibilidad)

El ámbito territorial del RGPD está definido por el Artículo 3 del reglamento. Se basa en dos criterios principales:

Establecimiento
Direccionamiento

Basta con que uno de estos se cumpla. Si alguno lo es, el RGPD se aplica. Sin embargo, solo se aplica a las actividades de tratamiento específicas que lo activaron. El reglamento no toma el control de toda tu organización, solo del manejo de datos que resulta relevante.

Autoevaluación en 3 pasos - Aplicabilidad del RGPD

Paso 1: ¿Tienes un establecimiento en la UE?

Tienes un establecimiento en la UE si operas a través de cualquier acuerdo estable en un Estado miembro (esto no requiere una oficina formal). El umbral para tener presencia en la UE es bastante bajo; incluso un solo empleado o agente en la UE puede ser suficiente si actúa con estabilidad.

Probablemente tienes un establecimiento en la UE si cuentas con:

Una sucursal, filial u oficina registrada en algún Estado miembro
Un empleado, representante de ventas o agente que trabaje regularmente en la UE
Actividades generadoras de ingresos en la UE vinculadas a tu tratamiento de datos

Si el tratamiento de datos de tu sitio web está relacionado con esas actividades en la UE, el RGPD se aplica. Si no es así, pasa al Paso 2.

Paso 2: ¿Diriges intencionalmente tu oferta a usuarios de la UE?

El RGPD se aplica si tu sitio web ofrece bienes o servicios a personas en la UE. La oferta debe ser intencional, no accidental. El simple hecho de que usuarios de la UE accedan a tu sitio web no es suficiente para activar la aplicabilidad.

Según las Directrices del Comité Europeo de Protección de Datos (CEPD), estos factores son indicios de direccionamiento intencional:

Mencionar la UE o Estados miembros específicos en relación con los bienes o servicios ofrecidos
Pagar publicidad en motores de búsqueda dirigida a audiencias de la UE
Usar dominios de nivel superior de la UE (.de, .fr, .eu) en lugar del dominio de tu país de origen
Ofrecer entrega de bienes a Estados de la UE
Mostrar precios en euros junto con la posibilidad de realizar pedidos
Hacer referencia a clientes o testimonios con sede en la UE

Si no diriges tu oferta a usuarios de la UE, pasa al Paso 3.

Paso 3: ¿Monitoreas el comportamiento de los visitantes de la UE?

El RGPD se aplica si rastreas o perfilas a personas ubicadas en la UE. El Considerando 24 define el monitoreo como:

"el seguimiento de personas físicas en internet, incluida la elaboración de perfiles para analizar o predecir sus preferencias, comportamientos y actitudes."

Estas actividades generalmente se consideran monitoreo:

Retargeting y publicidad conductual
Recopilación de cookies, huellas digitales o identificadores vinculados a personas
Herramientas de grabación de sesiones y mapas de calor vinculados a usuarios específicos
Seguimiento de ubicación para personalización o marketing

Ten en cuenta que los datos estadísticos puramente agregados y anonimizados, sin ningún vínculo con usuarios individuales, generalmente no constituyen monitoreo. Las herramientas de análisis "compatibles con el RGPD" están diseñadas para usar datos sin necesidad de consentimiento previo.

El RGPD se aplica a ti si tu sitio web realiza alguna de las actividades anteriores con visitantes ubicados en la UE, incluso si nunca tuviste la intención de hacer negocios en Europa.

¿Se aplica el RGPD a empresas de EE. UU.?

Sí. El RGPD puede aplicarse perfectamente a empresas de EE. UU. La ubicación de tu empresa no determina la aplicabilidad del RGPD.

Si tu empresa trata datos personales de ciudadanos de la UE, ya sea a través de bienes o servicios, emplea a residentes de la UE o monitorea el comportamiento en línea de ciudadanos de la UE, tu organización está sujeta al RGPD.

En lugar de dónde estás ubicado, lo que importa es:

¿Quién visita tu sitio? [¿Hay personas ubicadas en la UE que usan tu sitio web?]
¿Cómo trata tu sitio sus datos? [¿Estás recopilando información personal, rastreando comportamientos u ofreciéndoles bienes y servicios?]

No necesitas oficinas, empleados ni ninguna presencia física en Europa para que el RGPD se aplique a tu empresa. Ni el tamaño de tu empresa ni la cantidad de datos que tratas son determinantes.

Factores comunes que activan el RGPD en sitios web de EE. UU.

Tener visitantes de la UE y rastrear su comportamiento es motivo suficiente para estar dentro del alcance del RGPD. El rastreo conductual incluye cualquiera de estas herramientas populares. También puedes tener rastreadores de datos ocultos no autorizados, como scripts de terceros que recopilan datos en exceso, ya sea por accidente o con intención maliciosa. Puedes monitorear todos los recopiladores de datos de terceros en tu sitio web con una herramienta de cumplimiento del lado del cliente.

Ejemplos de tratamiento de datos en sitios web que pueden activar la aplicabilidad del RGPD

  <thead>
    <tr>
      <th>Categoría</th>
      <th>Ejemplos</th>
      <th>Por qué se aplica el RGPD</th>
    </tr>
  </thead>

  <tbody>
    <tr class="section-row">
      <td colspan="3">SEGUIMIENTO DEL LADO DEL CLIENTE</td>
    </tr>

    <tr>
      <td><strong>Análisis</strong></td>
      <td>Google Analytics, Adobe Analytics</td>
      <td>Cookies y seguimiento de visitantes de la UE</td>
    </tr>
    <tr>
      <td><strong>Píxeles publicitarios</strong></td>
      <td>Meta Pixel, Google Ads, etc.</td>
      <td>Monitoreo del comportamiento del usuario para retargeting</td>
    </tr>
    <tr>
      <td><strong>Grabación de sesiones</strong></td>
      <td>Hotjar, FullStory, Mouseflow</td>
      <td>Registra el comportamiento e interacciones de usuarios de la UE</td>
    </tr>
    <tr>
      <td><strong>Formularios de captación de leads</strong></td>
      <td>HubSpot, Mailchimp</td>
      <td>Recopila datos personales de visitantes de la UE</td>
    </tr>
    <tr>
      <td><strong>Servicios integrados</strong></td>
      <td>YouTube, Google Maps, widgets de redes sociales</td>
      <td>El tratamiento por terceros implica corresponsabilidad</td>
    </tr>

    <tr class="section-row">
      <td colspan="3">PROCESAMIENTO DEL LADO DEL SERVIDOR</td>
    </tr>

    <tr>
      <td><strong>Bases de datos de clientes</strong></td>
      <td>PostgreSQL, CRMs, almacenamiento en la nube</td>
      <td>Almacenamiento de registros de clientes de la UE y datos personales</td>
    </tr>
    <tr>
      <td><strong>Comercio electrónico</strong></td>
      <td>Shopify, WooCommerce</td>
      <td>Procesamiento de compras y pagos de clientes de la UE</td>
    </tr>
    <tr>
      <td><strong>Email marketing</strong></td>
      <td>Mailchimp, SendGrid</td>
      <td>Envío de correos electrónicos a suscriptores de la UE</td>
    </tr>
  </tbody>
</table>

¿Pueden aplicarse las sanciones del RGPD a empresas que operan exclusivamente en EE. UU.?

No directamente, a menos que tengas alguna conexión con la UE tal como se describe en este artículo.

¿Tienen autoridad los reguladores de la UE sobre empresas de EE. UU.?

Las Autoridades de Protección de Datos de la UE no tienen jurisdicción dentro de Estados Unidos. Por ello, esos organismos reguladores dependen de otras jurisdicciones para hacer cumplir sus sanciones contra entidades fuera de la UE.

A continuación, un ejemplo de reguladores de la UE actuando contra una empresa de EE. UU.:

La ICO del Reino Unido emitió una advertencia al Washington Post sobre cómo obtenía el consentimiento para las cookies. Sin embargo, la ICO señaló que había poco que pudiera hacer si el Washington Post decidía no cambiar sus prácticas.

Aplicación del RGPD para empresas de EE. UU.

Para empresas sin ninguna presencia en la UE, la aplicación regulatoria es poco frecuente. Generalmente se limita a consultas, avisos de cumplimiento y prohibiciones regulatorias. Los reguladores también pueden publicitar el incumplimiento, dañando inadvertidamente la reputación de la empresa.

La presión de aplicación aumenta con cualquier tipo de conexión con la UE

Los reguladores del RGPD ganan influencia si tienes:

Clientes o ingresos en la UE
Empleados o contratistas en la UE
Infraestructura o proveedores con sede en la UE
Cuentas bancarias o activos en la UE
Un sitio web orientado a la UE u oferta localizada

En ese punto, la aplicación se vuelve efectiva. Las restricciones comerciales pueden incluir órdenes de cesar actividades específicas de tratamiento de datos o suspender servicios para clientes de la UE hasta que se logre el cumplimiento. Esencialmente, pueden obligarte a dejar de atender a clientes europeos.

Las empresas multinacionales son las más afectadas por las sanciones del RGPD

La aplicación del RGPD contra empresas de EE. UU. varía según el Estado miembro de la UE. Los países de Europa occidental, como el Reino Unido, Francia e Irlanda, han sido agresivos en la imposición de sanciones del RGPD y en la apertura de investigaciones contra empresas de EE. UU.

Las mayores multas del RGPD han tenido como objetivo a empresas con una gran presencia en la UE:

Ejemplos de multas notables del RGPD y la conexión con la UE que activó la aplicación

  <thead>
    <tr>
      <th>Empresa</th>
      <th>Multa</th>
      <th>Conexión con la UE</th>
    </tr>
  </thead>

  <tbody>
    <tr>
      <td><strong>Meta</strong></td>
      <td>€1.200 millones</td>
      <td>Meta transfería de forma habitual información de usuarios de la UE a Estados Unidos sin las protecciones requeridas</td>
    </tr>
    <tr>
      <td><strong>Amazon</strong></td>
      <td>€746 millones</td>
      <td>Sede central en Luxemburgo</td>
    </tr>
    <tr>
      <td><strong>Google</strong></td>
      <td>€90 millones</td>
      <td>Las autoridades de datos francesas determinaron que los formularios de consentimiento genéricos y las casillas premarcadas no eran suficientes como consentimiento válido</td>
    </tr>
    <tr>
      <td><strong>Marriott</strong></td>
      <td>£18,4 millones</td>
      <td>La brecha comprometió en última instancia las contraseñas y los datos de tarjetas de crédito de millones de residentes de la UE</td>
    </tr>
  </tbody>
</table>

Para una empresa que opera exclusivamente en EE. UU., sin presencia en la UE, sin clientes en la UE y sin intención de entrar en el mercado europeo, el riesgo directo de aplicación es bajo. Pero esa es una categoría reducida, y cada vez más pequeña a medida que las empresas se globalizan y otras presiones (descritas a continuación) hacen que el cumplimiento al estilo del RGPD sea necesario de todas formas.

¿Deberían las empresas que operan exclusivamente en EE. UU. preocuparse por el RGPD?

Sí. He aquí por qué.

Las leyes de privacidad se están extendiendo por los estados de EE. UU.

Las leyes de privacidad estatales de EE. UU. han ganado impulso con nuevas normativas introducidas, promulgadas y en vigor cada año. No hace mucho, en 2018, la Ley de Privacidad del Consumidor de California se convirtió en la primera ley estatal integral de privacidad de EE. UU. en aprobarse. Desde entonces, muchos estados han aprobado sus propias leyes, con aplicación que comenzó en 2026.

Año	Estados que aprobaron leyes
2018	California (CCPA)
2021	Virginia, Colorado
2022	Utah, Connecticut
2023	Delaware, Indiana, Iowa, Montana, Oregon, Tennessee, Texas
2024	New Hampshire, New Jersey, Kentucky, Maryland, Minnesota, Nebraska, Rhode Island

En el momento de la publicación de este artículo, 20 estados de EE. UU. han promulgado leyes integrales de privacidad de datos del consumidor.

Estas leyes regulan cómo las empresas pueden recopilar datos, qué deben divulgar, cómo pueden los usuarios ejercer su derecho de exclusión y qué controles de seguridad deben mantenerse.

Las leyes de privacidad estatales de EE. UU. toman prestado directamente del RGPD

Las leyes de Colorado, Connecticut, Delaware, Oregon, Indiana, Iowa, Tennessee, Virginia y Utah adoptan la terminología del Reglamento General de Protección de Datos (RGPD) de la Unión Europea y se aplican a "responsables" y "encargados del tratamiento".

El enfoque más común en las leyes de privacidad estatales de EE. UU. refleja el del RGPD, que exige que una evaluación contenga, como mínimo, los riesgos y beneficios del tratamiento para las personas.

Si construyes tu sitio web para que cumpla con el RGPD, ya estás a la mayor parte del camino de cumplir con las leyes estatales de EE. UU. Lo contrario también es cierto. Ignorar los requisitos al estilo del RGPD significa que probablemente también estás incumpliendo las leyes nacionales.

Los sitios web ahora deben respetar las señales de exclusión universal

Muchos estados de EE. UU. ahora exigen que los sitios web detecten y respeten las señales de privacidad basadas en el navegador, específicamente el Global Privacy Control (GPC).

A partir del 1 de julio de 2025, diez estados de EE. UU. exigen que los sitios web respeten las señales UOOM. Estos estados incluyen California, Colorado, Connecticut, Delaware, Montana, Nebraska, New Hampshire, New Jersey, Oregon, Minnesota, Maryland y Texas.

California, Colorado y Connecticut han anunciado una investigación conjunta dirigida a empresas que no respetan las exclusiones mediante GPC.

En la práctica, esto significa que:

Si el navegador de un visitante envía una señal GPC, tu sitio web debe tratarla como una solicitud de exclusión válida
El Fiscal General de California ha adoptado la posición de que las solicitudes de exclusión mediante el Global Privacy Control deben ser respetadas por las empresas cubiertas como una solicitud válida del consumidor para detener la venta o el intercambio de información personal.
El incumplimiento de estas señales ya está siendo objeto de aplicación (la primera acción pública de aplicación de la CCPA de California contra Sephora citó el incumplimiento del GPC)

Si tu sitio web no puede detectar y responder técnicamente a estas señales, estás incumpliendo la normativa, incluso si nunca tuviste la intención de hacer negocios fuera de tu estado.

Reduce las violaciones de privacidad causadas por scripts de terceros con Privacy Watch

A lo largo de este artículo, hemos destacado que, independientemente de si los usuarios aceptan o rechazan las cookies, los scripts mal configurados o maliciosos pueden seguir filtrando su información privada.

Los banners de consentimiento de cookies gestionan preferencias. No controlan el comportamiento. Y bajo el RGPD, eres responsable de lo que hace cada script en tu sitio web.

PrivacyWatch es la herramienta de cumplimiento de privacidad del lado del cliente de cside que monitorea scripts de terceros para alertarte sobre posibles infracciones o brechas de datos.

cside ofrece informes de cumplimiento automatizados para las regulaciones RGPD, CCPA e HIPAA, con registros de auditoría detallados que demuestran tu cumplimiento durante inspecciones regulatorias.

Con cside PrivacyWatch, puedes:

Ver qué datos acceden los scripts y a dónde se envían
Monitorear el acceso e inyección de datos para detener el rastreo no autorizado
Identificar cambios en el código de terceros en tu sitio que modifiquen cómo tu sitio web maneja los datos
Demostrar que se han implementado medidas de privacidad y seguridad del lado del cliente para cumplir con el Artículo 32, el Artículo 25 y el Artículo 28 del RGPD
Obtener paneles de control automatizados específicos para el RGPD, la CCPA y otras leyes estatales de EE. UU.
Recopilar evidencia que puedas presentar durante inspecciones regulatorias o auditorías

Agenda una demo con cside ahora para ver cómo protegerte contra las infracciones del RGPD.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Sí. El RGPD puede aplicarse a empresas con sede en EE. UU. si ofrecen bienes o servicios a personas ubicadas en la UE, o si monitorean el comportamiento de usuarios de la UE mediante análisis, cookies, píxeles de seguimiento u otras tecnologías similares en su sitio web.

No vender productos en Europa no exime automáticamente a tu empresa. El RGPD se aplica a empresas de EE. UU. que pongan bienes o servicios a disposición de personas en la UE o el EEE, incluso si no se requiere pago, o que monitoreen el comportamiento de usuarios ubicados en la UE o el EEE.

Depende de la intención y del monitoreo del comportamiento. En general, el RGPD no se aplica al acceso puramente incidental de usuarios de la UE, pero sí puede aplicarse si intencionalmente diriges tu oferta a usuarios de la UE o monitoreas activamente su comportamiento mediante tecnologías de seguimiento o análisis.

Sí. El RGPD no establece un umbral de tamaño o ingresos para su aplicabilidad. Sin embargo, según el Artículo 30(5), las organizaciones con menos de 250 empleados pueden estar exentas de ciertos requisitos de registro, dependiendo de sus actividades de tratamiento.

Google Analytics no es compatible con el RGPD de forma predeterminada. Los operadores de sitios web deben configurar la herramienta adecuadamente y utilizar las funciones de privacidad disponibles para alinear su uso con los requisitos del RGPD.

No. La aplicabilidad del RGPD se determina por la ubicación del interesado, no por su ciudadanía. Si un ciudadano de la UE se encuentra en Estados Unidos en el momento del tratamiento de datos, el RGPD generalmente no se aplica.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre herramientas de detección de agentes de IA

4 herramientas para detectar agentes de IA en tu sitio web (prevención de fraude)

Comparación de cside, HUMAN Security, DataDome y Cloudflare para detección de agentes de IA. Descubre cómo cada herramienta aborda la prevención de fraude, precios e implementación.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.

Portada oscura de cside con puntos sobre usos y bloqueo de navegadores stealth

Qué son los navegadores stealth (o 'anti-detect') y cuándo bloquearlos

Los navegadores stealth evaden la detección de bots. Los navegadores anti-detect falsifican huellas digitales. Aprende las señales que revelan ambos, incluso cuando parecen humanos.