Blog

VCDPA: Guía de Requisitos y Cumplimiento para Sitios Web

Obtén un desglose claro de las normas de la Ley de Protección de Datos del Consumidor de Virginia, los plazos de aplicación y cómo gestionar correctamente los scripts de terceros.

Jan 22, 2026 • 14 min read

Juan Combariza Growth Marketer

VCDPA - Virginia Consumer Data Protection Act - Requisitos y Cumplimiento para Sitios Web

TL;DR

¿Qué es la VCDPA? La Ley de Protección de Datos del Consumidor de Virginia es una ley de privacidad que otorga a los residentes de Virginia ciertos derechos sobre su información personal. Se convirtió en la segunda ley de privacidad a nivel estatal en EE. UU. después de California y entró en vigor el 1 de enero de 2023.
¿A quién aplica la VCDPA? La VCDPA aplica a organizaciones que hacen negocios en Virginia o que se dirigen a residentes de Virginia y que (a) controlan o procesan datos personales de al menos 100.000 consumidores al año, o (b) controlan o procesan datos de al menos 25.000 consumidores mientras obtienen más del 50 % de sus ingresos brutos de la venta de datos personales.
¿Cuáles son las causas más comunes de incumplimiento de la VCDPA? La mayoría de los incumplimientos se originan por procesar datos sensibles sin consentimiento explícito, no responder a las solicitudes de derechos de los consumidores dentro de los plazos establecidos o por divulgaciones de privacidad deficientes. La falta de visibilidad sobre el comportamiento de scripts de terceros en los sitios web también puede generar infracciones.
¿Cómo hago que mi sitio web cumpla con la VCDPA? Mantén una política de privacidad actualizada, obtén consentimiento antes de procesar datos personales, atiende las solicitudes de datos y monitorea los procesadores de terceros en tu sitio web con una herramienta como cside.

Las empresas necesitan datos para crecer. Lamentablemente, esto hace que los consumidores tengan sus datos sensibles procesados sin su consentimiento. Esto ocurre con mayor frecuencia por errores de configuración técnica que por intenciones poco éticas de las empresas.

Los gobiernos de todo el mundo están tomando nota e introduciendo leyes para que la recopilación de datos sea clara y transparente. Al igual que varios estados de EE. UU., Virginia también ha desarrollado una ley de privacidad diseñada para ser favorable a las empresas y, al mismo tiempo, proteger a los consumidores.

Con el objetivo claro de poner a las personas a cargo de sus datos, la Ley de Protección de Datos del Consumidor de Virginia es importante para cualquier organización que opere en este estado. Este artículo explica qué es la Ley de Protección de Datos de Virginia, sus requisitos clave y por qué no puedes ignorar la seguridad del lado del cliente para cumplir verdaderamente con la normativa.

¿Qué es la Ley de Protección de Datos del Consumidor de Virginia?

La Ley de Protección de Datos del Consumidor de Virginia (VCDPA) es una ley de privacidad estatal de EE. UU. que otorga a los residentes de Virginia una serie de derechos sobre su información personal. El gobernador Ralph Northam la promulgó el 2 de marzo de 2021 y entró en vigor el 1 de enero de 2023.

Se basa en la premisa de que si no tienes una razón específica y declarada para conservar datos, no deberías tenerlos en absoluto.

Los residentes de Virginia ahora poseen derechos específicos y exigibles sobre su huella digital:

El derecho de control: Los consumidores pueden acceder, corregir o eliminar sus datos personales cuando lo deseen.
El derecho de salida: Las empresas deben ofrecer un mecanismo sencillo para que los usuarios puedan optar por no participar. Esa opción incluye la publicidad dirigida, la venta de datos y la elaboración de perfiles automáticos.

Bajo la VCDPA, las organizaciones requieren consentimiento explícito para recopilar datos de salud, religión, biometría y geolocalización precisa por defecto; se exige un consentimiento explícito y afirmativo.

Los ciudadanos individuales no tienen derecho de acción bajo la VCDPA. El Fiscal General de Virginia tiene la autoridad para aplicar sanciones. Las multas pueden llegar hasta $7.500 por infracción.

¿Aplica la VCDPA a mi empresa? (Autoevaluación)

Criterios de elegibilidad - VCDPA - Ley de Protección de Datos del Consumidor de Virginia - ¿Aplica la VCDPA a mi organización?

La VCDPA aplica a tu organización si cumples los siguientes criterios:

Realizas negocios en Virginia o produces productos o servicios dirigidos a residentes de Virginia.
Cumples uno de dos umbrales de procesamiento de datos: (a) controlas o procesas datos personales de al menos 100.000 consumidores durante un año calendario, o (b) controlas o procesas datos personales de al menos 25.000 consumidores y obtienes más del 50 % de tus ingresos brutos de la venta de datos personales.

A diferencia de la CCPA de California, la VCDPA no incluye un umbral basado únicamente en los ingresos. Los ingresos anuales brutos de una empresa por sí solos no determinan la aplicabilidad. Los umbrales se centran exclusivamente en el volumen de procesamiento de datos y en los ingresos derivados específicamente de la venta de datos.

consumidor hace referencia a una persona que es residente de Virginia y actúa en un contexto individual o doméstico.
datos personales hace referencia a cualquier información vinculada o razonablemente vinculable a una persona natural identificada o identificable. Esto excluye los datos desidentificados y la información de acceso público.

Exenciones de la VCDPA

Algunas entidades están completamente exentas de los requisitos de la VCDPA.

Agencias estatales, subdivisiones políticas y organismos del gobierno de Virginia
Instituciones financieras sujetas a la Ley Gramm-Leach-Bliley
Entidades cubiertas y socios comerciales regulados por HIPAA
Organizaciones sin fines de lucro (incluidas las organizaciones políticas según enmiendas recientes)
Instituciones de educación superior

¿Cuáles son los principales requisitos de la VCDPA?

Proporcionar avisos de privacidad claros

Los controladores (organizaciones) deben mostrar un aviso de privacidad razonablemente accesible. El aviso debe divulgar las categorías de datos personales procesados, los fines del procesamiento, cómo los consumidores pueden ejercer sus derechos, las categorías de datos compartidos con terceros y las categorías de esos terceros.

Si un controlador vende datos personales o los procesa para publicidad dirigida, esto debe divulgarse claramente junto con las instrucciones sobre cómo los consumidores pueden optar por no participar.

Obtener consentimiento antes de procesar datos sensibles

La VCDPA prohíbe procesar datos sensibles sin obtener el consentimiento explícito del consumidor. El "consentimiento implícito" no cumple con el estándar requerido.

Para los datos recopilados de menores conocidos menores de 13 años, los controladores deben cumplir con los requisitos de la Ley Federal de Protección de la Privacidad Infantil en Línea (COPPA). Las enmiendas a la VCDPA vigentes desde el 1 de enero de 2025 añadieron restricciones adicionales sobre el procesamiento de datos de menores para publicidad dirigida, elaboración de perfiles y otros fines sin el consentimiento de los padres.

Responder a las solicitudes de derechos de los consumidores en 45 días

Tras recibir una solicitud de un consumidor para ejercer sus derechos, los controladores deben responder en un plazo de 45 días. Se permite una prórroga de 45 días cuando sea razonablemente necesario debido a la complejidad técnica o a un gran número de solicitudes, pero el consumidor debe ser notificado dentro del período original.

Las respuestas deben ser gratuitas hasta dos veces al año por consumidor. Si un controlador rechaza una solicitud, debe explicar el motivo y proporcionar instrucciones para apelar. Las apelaciones deben resolverse en un plazo de 60 días. Si se deniega una apelación, el controlador debe proporcionar al consumidor un medio para contactar al Fiscal General.

Habilitar la opción de exclusión de ventas, publicidad dirigida y elaboración de perfiles

Los consumidores tienen derecho a optar por no participar en el procesamiento para publicidad dirigida, la venta de datos personales y la elaboración de perfiles que produzca efectos legales o significativos similares.

Los controladores deben ofrecer un mecanismo funcional para atender estas solicitudes. La organización incumple la normativa si los scripts de seguimiento o píxeles continúan transmitiendo datos después de que un consumidor haya optado por no participar.

Establecer contratos con los procesadores de datos

Los controladores deben tener contratos escritos con cualquier procesador que maneje datos en su nombre. Esto incluye procesadores de datos del sitio web como chatbots, herramientas de análisis o de marketing. Los acuerdos deben especificar la naturaleza y el propósito del procesamiento, el tipo de datos involucrados, la duración del procesamiento y los derechos y obligaciones de ambas partes.

La mayoría de los principales proveedores (como Meta, Google Ads, Cloudflare) tienen DPAs estandarizados que puedes encontrar en sus sitios web.

Riesgos ocultos de violaciones de privacidad en sitios web bajo la VCDPA

Riesgos de privacidad en sitios web para la VCDPA - cside

La superficie de riesgo más ignorada para el cumplimiento de la VCDPA es tu sitio web. Los sitios modernos cargan una combinación de código desarrollado internamente junto con código de proveedores externos (scripts de terceros). Esos scripts de terceros cargan a su vez más scripts (subprocesadores). Cada uno de estos scripts añade riesgos de seguridad y privacidad a tu sitio web. A través de errores de configuración o inyecciones de código malicioso, comprometen los datos personales.

Los scripts de terceros son un riesgo de cumplimiento bajo la VCDPA

Los píxeles de marketing, las herramientas de análisis y los widgets de redes sociales son estándar en la mayoría de los sitios web comerciales. Cada script puede recopilar direcciones IP, identificadores de dispositivos, comportamiento de navegación y datos de formularios.

Bajo la VCDPA, la organización que despliega estos scripts es el controlador.

Incumples la normativa si estos scripts recopilan más datos de los divulgados en tu aviso de privacidad. Si continúan recopilando datos después de que un consumidor haya optado por no participar, también estás en incumplimiento. La mayoría de las organizaciones no tienen forma de saber si sus scripts se comportan como se espera.

Las inyecciones de JavaScript son un riesgo de brecha de datos bajo la VCDPA

Más allá del cumplimiento, el código del lado del cliente presenta riesgos de seguridad. Por ejemplo:

Los scripts maliciosos o comprometidos pueden extraer datos personales directamente desde el navegador.
Una actualización de librería envenenada o una etiqueta inyectada puede exponer información de los consumidores sin que los controles de seguridad del lado del servidor lo detecten.

La VCDPA exige que los controladores mantengan prácticas de seguridad razonables. Una organización que despliega código de terceros sin monitoreo y sufre una brecha en el lado del cliente tendrá dificultades para demostrar que tomó las precauciones adecuadas.

Los banners de cookies por sí solos no garantizan el cumplimiento de la VCDPA

Las plataformas de gestión de consentimiento son importantes para el cumplimiento de la privacidad en sitios web, pero son solo una pieza del rompecabezas. Un banner de cookies recopila las preferencias de consentimiento, pero tiene una capacidad de aplicación limitada.

Las CMPs pueden fallar si no están correctamente integradas con Google Tag Manager u otras herramientas de análisis. Además, las CMPs no están diseñadas para proteger contra ataques del lado del cliente, donde scripts de terceros "de confianza" son secuestrados y eluden por completo la configuración de consentimiento.

Incumplimientos comunes de la VCDPA

Dónde ocurren los incumplimientos de la VCDPA - Ley de Protección de Datos del Consumidor de Virginia

Procesar datos sensibles sin consentimiento

La infracción más directa ocurre cuando las organizaciones procesan datos sensibles sin el consentimiento explícito de aceptación. Esto incluye datos de geolocalización, información relacionada con la salud, identificadores biométricos y datos de menores conocidos. Muchos sitios web recopilan esta información a través de scripts sin ser conscientes de las implicaciones en materia de consentimiento.

Por ejemplo, un sitio web de salud que utiliza un píxel de Meta puede transmitir inadvertidamente información sobre qué páginas de condiciones médicas visita un usuario. Esos datos de comportamiento califican como información de salud sensible que requiere consentimiento explícito antes de poder ser "compartida".

Avisos de privacidad que no reflejan las prácticas reales

Los controladores deben asegurarse de que sus divulgaciones de privacidad describan con precisión qué datos se recopilan, por qué y con quién se comparten. Estas prácticas pueden desviarse de lo que indica el aviso de privacidad cuando los scripts de terceros cambian o cuando los equipos de marketing añaden nuevas etiquetas.

La infracción es inequívocamente tuya si un script en tu sitio comparte datos con una parte no divulgada.

Mecanismos de exclusión que no funcionan

Los avisos de privacidad pueden prometer a los consumidores el derecho a optar por no participar en el intercambio de datos, pero fallar cuando llega una solicitud real de un consumidor.

La acción de cumplimiento del Fiscal General de California contra Sephora ilustró este riesgo. La empresa afirmaba que los usuarios podían optar por no participar en la venta de datos, pero continuó enviando datos a socios publicitarios. Los reguladores lo trataron como una denegación de los derechos del consumidor. La misma lógica de aplicación rige bajo la VCDPA.

Evaluaciones de protección de datos ausentes o insuficientes

Las organizaciones que procesan datos personales para publicidad dirigida, venden datos o manejan información sensible deben documentar evaluaciones de protección de datos. Muchas organizaciones omiten este requisito o producen evaluaciones que no analizan los riesgos de forma significativa.

El Fiscal General puede solicitar estos documentos durante una investigación. Una organización que no pueda presentar evaluaciones adecuadas tendrá grandes dificultades para demostrar su cumplimiento.

Incumplimiento de los plazos de respuesta

Las solicitudes de derechos de los consumidores deben responderse en 45 días y las apelaciones deben resolverse en 60 días. Las organizaciones sin sistemas eficientes de recepción y respuesta pueden incumplir estos plazos. Un patrón de solicitudes respondidas tarde o ignoradas es señal de incumplimiento sistémico.

Recursos oficiales de la VCDPA y enlaces gubernamentales

Fiscal General de Virginia, Resumen de la VCDPA: El resumen oficial de la Oficina del Fiscal General que explica los derechos de los consumidores, las obligaciones de las empresas y los procedimientos de aplicación.
Código de Virginia, Capítulo 53: El texto completo de la ley, incluidas todas las definiciones, los derechos de los consumidores, los deberes de los controladores y las normas de aplicación.
Línea de atención al consumidor de Virginia: 1-800-552-9963 (dentro de Virginia) o (804) 786-2042 (área de Richmond y fuera de Virginia). Horario de atención: 8:30 a. m. a 5:00 p. m., de lunes a viernes.

Cronología de la VCDPA

2 de marzo de 2021: El gobernador Ralph Northam promulgó la Ley de Protección de Datos del Consumidor de Virginia.
1 de enero de 2023: La VCDPA entró en vigor. Comenzó la aplicación por parte del Fiscal General de Virginia. Los requisitos de evaluación de protección de datos se volvieron aplicables a las nuevas actividades de procesamiento.
1 de enero de 2025: Entraron en vigor las enmiendas sobre datos de menores, que exigen el consentimiento de los padres antes de procesar datos personales de menores conocidos para publicidad dirigida, elaboración de perfiles y otros fines específicos.

1 de enero de 2026: Entran en vigor enmiendas adicionales relacionadas con los límites de tiempo en redes sociales para menores de 16 años.

Cómo cside ayuda a las organizaciones a cumplir con la VCDPA

cside Privacy Watch detecta violaciones de privacidad ocultas en sitios web monitoreando las señales en la capa del navegador, que las herramientas de cumplimiento tradicionales ignoran. cside ofrece una visión clara de qué scripts operan en tu sitio web, a qué datos acceden y hacia dónde van esos datos. Esto te permite verificar que las prácticas reales de recopilación de datos coincidan con tus divulgaciones de privacidad.

El código de terceros en tu sitio web cambia con frecuencia. cside detecta los cambios en las herramientas de terceros a medida que ocurren y te permite identificar recopilaciones de datos innecesarias antes de que generen riesgos de cumplimiento.
cside monitorea comportamientos sospechosos de scripts que indican que un ataque del lado del cliente está apuntando a los datos de los visitantes de tu sitio web.
Los requisitos del lado del cliente en materia de transparencia, limitación de finalidad y salvaguardas de seguridad se automatizan con paneles de control y evidencia automatizada.

Puedes comenzar con el plan gratuito de cside o reservar una demo para saber más sobre cómo cumplir con los requisitos del lado del cliente de las leyes de privacidad estatales como la VCDPA.

Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

La VCDPA también puede aplicar a empresas más pequeñas, no solo a grandes corporaciones. La aplicabilidad depende de la cantidad de datos personales de residentes de Virginia que se procesen, y las empresas que venden datos personales tienen más probabilidades de estar dentro del alcance de la ley.

Un banner de cookies puede ayudar, pero no es suficiente por sí solo. Lo que importa es si tu sitio web realmente respeta las decisiones de los usuarios y protege los datos personales. Aunque la VCDPA solo exige consentimiento explícito para datos sensibles, cualquier dato personal expuesto a través de brechas en el lado del cliente puede constituir una violación de privacidad.

Sí. Bajo la VCDPA, la empresa que opera el sitio web es responsable del cumplimiento, incluso si el script de un proveedor externo es la fuente de la recopilación o el intercambio de datos que causó la infracción.

No. El consentimiento explícito solo se requiere para datos sensibles, como datos de ubicación precisa, información de salud o datos de menores. Sin embargo, muchos sitios web recopilan datos sensibles de forma no intencionada a través de scripts de análisis o marketing, lo que igualmente puede generar obligaciones de cumplimiento.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog cside con fondo de píxeles azules y tres marcas de verificación: por qué las reglas de velocidad fallan contra los agentes de prueba de tarjetas con IA, las señales del navegador que los exponen y cómo bloquear el pago antes del checkout

Cómo Bloquear Agentes de Prueba de Tarjetas con IA

Los agentes de IA de prueba de tarjetas sondean flujos de pago con navegadores reales. Aprende las señales del navegador que los exponen antes de completar una transacción.

Plataforma de seguridad cside clasificando múltiples conexiones de agentes de IA — detección de agentes a nivel de navegador y gestión de confianza

Cómo elegir una solución de detección de agentes de IA

Guía de cinco pasos para CISOs que evalúan soluciones de detección de agentes de IA: arquitectura, clasificación, perfiles de proveedores y metodología de POC.

Portada del blog de cside mostrando una interfaz de navegador que filtra el tráfico de bots y agentes de IA en rutas de confianza y bloqueadas

Mejores Plataformas de Gestión de Confianza de Bots y Agentes Comparadas (2026)

Forrester define la categoría. cside, DataDome, HUMAN Security, Kasada y Arkose Labs comparadas en capa de detección, intención y cobertura agéntica.

escudo de seguridad de cside monitorizando la ruta del cursor del navegador — detección de agentes de IA en la capa del navegador

Cómo Bloquear OpenAI Operator en Tu Sitio Web

OpenAI Operator navega tu sitio como un usuario real. Aprende a detectarlo y bloquearlo con señales de capa de navegador y cuándo no bloquearlo.

DBSC frente a huella digital del dispositivo: lo que la seguridad de sesión de Chrome no cubre

DBSC de Chrome frena el reenvío de cookies robadas, pero es solo Chrome, posterior al login y sin identidad de dispositivo. Mira el fraude que deja.

Detectar y bloquear Perplexity Shopper en tu sitio web — blog de cside

Cómo bloquear Perplexity Shopper en tu sitio web

Perplexity Shopper navega y compra en tiendas online en nombre de usuarios Pro. Aprende a detectar sus señales en el navegador y gobernar el tráfico.

Ilustración de una petición a la API de Claude y una respuesta devuelta que pertenece a otro usuario, marcada como «la respuesta no coincide con la petición», entre los logotipos de Anthropic y cside

Cuando una API de IA devuelve la respuesta de otro usuario: cachés compartidas y filtraciones entre clientes

Una incidencia de la API de Claude parece haber devuelto respuestas de otros usuarios. Por qué las cachés compartidas provocan fugas entre clientes.

Un token de acceso OAuth 2.0 en el centro de un diagrama que conecta un dispositivo legítimo con el dispositivo de un atacante

MFA no falló, falló el modelo de confianza: phishing por código de dispositivo y robo de tokens OAuth (Kali365)

Kali365 abusa de la concesión de autorización de dispositivo de OAuth 2.0 para robar tokens de Microsoft 365 tras MFA. Análisis técnico del flujo, FOCI y detección.

Una ventana de navegador que se disuelve en un flujo de partículas de luz azul sobre un fondo oscuro

La IA está comprimiendo el ciclo de los exploits: el zero-day desarrollado con IA de Google y qué significa para los navegadores

Google detectó un zero-day que cree desarrollado con IA. El cambio real no es el phishing, sino lo rápido que los exploits llegan al navegador.

Tokens de sesión atravesando una barrera de seguridad del navegador hacia señales de huella digital del dispositivo

La sesión del navegador ya es un plano de control de seguridad. Los atacantes lo sabían desde hace años.

La propuesta DBSC de Google valida un cambio claro: las sesiones del navegador necesitan validación del dispositivo después del login.