Skip to content
Caso de clienteTarifasSeguridadComparativaBlog

Europe

Americas

Oceania

Guía17 min de lectura

Cumplimiento de privacidad de datos más allá del RGPD: CCPA, LGPD, POPIA y marcos globales

Guía práctica para empresas españolas sobre cumplimiento de privacidad global: RGPD, CCPA, LGPD, POPIA, PIPL, DPDPA y APPI. Requisitos, sanciones y estrategia multi-jurisdiccional.

Carlos Ruiz, Consultor de cumplimiento normativo
Carlos Ruiz, Consultor de cumplimiento normativo·
Illustration for Cumplimiento de privacidad de datos más allá del RGPD: CCPA, LGPD, POPIA y marcos globales — Guía

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

El incumplimiento de la normativa de privacidad de datos ya no es un riesgo exclusivo del entorno europeo. Una empresa española que opera en mercados internacionales —ya sea captando clientes en California, procesando nóminas en Brasil o verificando identidades para clientes sudafricanos— está sujeta simultáneamente a múltiples marcos regulatorios, cada uno con sus propias definiciones, derechos, plazos y regímenes sancionadores. Ignorar esta multiplicidad no es una opción: la Agencia Española de Protección de Datos (AEPD) no exime del cumplimiento extraterritorial, y los reguladores de terceros países actúan de forma independiente.

La fragmentación regulatoria global en materia de privacidad ha generado un escenario en el que más de 137 países disponen de legislación de protección de datos, según la UNCTAD, obligando a las empresas con actividad internacional a gestionar simultáneamente entre tres y ocho marcos normativos distintos.

Esta guía analiza los principales marcos de privacidad que afectan a las empresas españolas con actividad internacional —CCPA/CPRA, LGPD, POPIA, PIPL, DPDPA y APPI— y establece una estrategia práctica para construir un programa de cumplimiento multi-jurisdiccional eficiente, partiendo del RGPD como base consolidada.

El RGPD y la LOPDGDD como punto de partida: lo que ya debe tener implementado

El RGPD (Reglamento UE 2016/679), complementado por la Ley Orgánica 3/2018 (LOPDGDD), establece el estándar más elevado del mundo en materia de protección de datos personales. Una empresa española que cumple plenamente con el RGPD dispone de una base sólida —registro de actividades de tratamiento, evaluaciones de impacto (EIPD), contratos con encargados, gestión de derechos de los interesados— sobre la que puede construir su programa global.

La AEPD supervisa la aplicación del RGPD en España e impone multas que pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio global anual, la cifra que sea mayor. Las multas por infracción de los artículos relativos a los principios de tratamiento (artículo 5) o las bases jurídicas (artículo 6) se encuadran en el nivel más grave. La LOPDGDD añade requisitos específicos: el tratamiento del DNI/NIE fuera de los supuestos previstos, las obligaciones de los responsables de seguridad y los sistemas de denuncias internas regulados por el artículo 24.

La clave para una estrategia global es identificar los elementos del RGPD que son transferibles —principios de minimización, gestión de consentimiento, derechos de los titulares— y los que son específicos del entorno europeo, para no partir de cero en cada nueva jurisdicción.

Para una visión completa del cumplimiento en España, consulte nuestra guía sobre RGPD, LOPDGDD y documentos de identidad.

Comparativa de los principales marcos de privacidad global

La siguiente tabla resume los elementos clave de los marcos más relevantes para las empresas españolas con actividad internacional:

Marco Jurisdicción Ámbito de aplicación Derechos principales Sanción máxima Autoridad
RGPD (2016/679) UE / EEE Datos de personas físicas en la UE Acceso, rectificación, supresión, portabilidad, oposición 20 M EUR / 4% facturación global AEPD (España)
CCPA/CPRA California (EE. UU.) Empresas con +25 M USD ingresos, +100.000 consumidores CA Conocer, eliminar, corregir, opt-out de venta 7.500 USD por infracción intencionada California Privacy Protection Agency (CPPA)
LGPD (Lei 13.709/2018) Brasil Tratamiento de datos de personas en Brasil Acceso, corrección, eliminación, portabilidad, revocación 2% facturación Brasil, máx. 50 M BRL por infracción ANPD
POPIA (Act 4 of 2013) Sudáfrica Responsables establecidos en Sudáfrica o que procesen datos allí Acceso, corrección, destrucción, objeción Hasta 10 M ZAR o prisión Information Regulator
PIPL China Tratamiento de datos de personas en China Conocer, decidir, corregir, suprimir, portabilidad Hasta 50 M CNY o 5% facturación anual CAC (Cyberspace Administration of China)

CCPA y CPRA: los requisitos californianos que afectan a empresas españolas

La California Consumer Privacy Act (CCPA), en vigor desde enero de 2020 y ampliada por la California Privacy Rights Act (CPRA) desde enero de 2023, es la norma de privacidad más exigente de los Estados Unidos. A diferencia del RGPD, no se aplica en función de la ubicación del responsable, sino en función de la residencia del consumidor y del volumen de negocio en California.

Una empresa española queda sujeta a la CCPA/CPRA si cumple al menos uno de estos criterios: (1) ingresos brutos anuales superiores a 25 millones de dólares; (2) tratamiento de datos personales de 100.000 o más consumidores o hogares californianos al año; o (3) obtención de más del 50% de los ingresos anuales de la venta de datos personales.

La CPRA creó la California Privacy Protection Agency (CPPA), un regulador independiente con poder para imponer multas de hasta 7.500 dólares por cada infracción intencionada, lo que puede traducirse en sanciones millonarias para brechas masivas, como ilustra la multa de 1,2 millones de dólares impuesta a Sephora en 2022 por el fiscal general de California (California AG, comunicado de prensa).

Las principales obligaciones prácticas de la CCPA/CPRA para una empresa española son:

  • Publicar un aviso de privacidad que incluya las categorías de datos recogidos y los fines del tratamiento antes o en el momento de la recogida.
  • Proporcionar mecanismos para que los consumidores ejerzan el derecho a conocer, eliminar, corregir y limitar el uso de sus datos sensibles.
  • Implementar el botón «Do Not Sell or Share My Personal Information» si se comparten datos con terceros.
  • Establecer contratos de servicio con los proveedores que acceden a datos de consumidores californianos.
  • Mantener registros de las solicitudes de derechos y sus respuestas durante 24 meses.

La CPRA introduce, además, la categoría de «datos sensibles» que incluye número de la Seguridad Social, datos financieros, datos de salud, datos biométricos, datos de geolocalización precisa, comunicaciones privadas y datos sobre origen racial o étnico.

LGPD: el marco brasileño y su relevancia para empresas con actividad en América Latina

La Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018), en vigor desde septiembre de 2020 con plenas facultades sancionadoras desde agosto de 2021, es el equivalente brasileño del RGPD. Para las empresas españolas, Brasil es el mayor mercado de América Latina, con más de 200 millones de personas y un ecosistema digital en rápida expansión.

La LGPD se aplica a cualquier operación de tratamiento de datos personales de personas físicas ubicadas en Brasil, independientemente de dónde esté establecido el responsable. Las bases jurídicas reconocidas incluyen el consentimiento libre, informado y específico, el cumplimiento de obligaciones legales, la ejecución de contratos, el interés legítimo y el ejercicio regular de derechos.

La Autoridade Nacional de Proteção de Dados (ANPD) ha emitido sus primeras resoluciones sancionadoras en 2023 y 2024, con multas que alcanzan el 2% de la facturación en Brasil, con un máximo de 50 millones de reales por infracción; la Resolução CD/ANPD n.º 4/2023 establece el procedimiento sancionador detallado.

Diferencias clave entre la LGPD y el RGPD que deben considerarse:

  • La LGPD reconoce diez bases jurídicas frente a las seis del RGPD, incluyendo la «protección del crédito» como base específica para el sector financiero.
  • El plazo para notificar brechas de seguridad a la ANPD es de 72 horas desde que se tome conocimiento, igual que en el RGPD.
  • La LGPD exige la designación de un Encarregado (equivalente al DPO del RGPD) para todos los responsables del tratamiento, sin excepción de tamaño.
  • La transferencia internacional de datos requiere garantías adecuadas: cláusulas contractuales estándar, normas corporativas vinculantes o el país destinatario debe contar con reconocimiento de adecuación por parte de la ANPD.

Para empresas con actividad en Brasil que también verifican documentos en este mercado, los requisitos del Banco Central do Brasil (Bacen) y del Conselho de Controle de Atividades Financeiras (Coaf) añaden capas de cumplimiento en materia de KYC y prevención del blanqueo de capitales que deben articularse con la LGPD.

POPIA: el marco sudafricano en expansión

La Protection of Personal Information Act (POPIA, Act 4 of 2013) entró plenamente en vigor en julio de 2021. Aunque África puede parecer un mercado secundario para muchas empresas españolas, los sectores de recursos naturales, energía y finanzas tienen presencia significativa en el continente, y Sudáfrica actúa como hub regulatorio para toda la región.

La POPIA se aplica a cualquier responsable que trate datos personales en Sudáfrica, y sus ocho condiciones de tratamiento legítimo son conceptualmente similares a los principios del RGPD: responsabilidad, limitación de la finalidad, minimización, calidad de la información, apertura, seguridad, participación del interesado y restricción al flujo transfronterizo.

El Information Regulator de Sudáfrica puede imponer multas de hasta 10 millones de rands sudafricanos (aproximadamente 500.000 euros al cambio actual) o penas de prisión de hasta 10 años para las infracciones más graves, lo que convierte a la POPIA en una de las normas con régimen sancionador más severo fuera de la UE (Information Regulator South Africa).

La POPIA exige la notificación obligatoria de brechas al Information Regulator y a los afectados tan pronto como sea razonablemente posible, sin un plazo específico de horas como en el RGPD o la LGPD. También requiere que las organizaciones designen un Information Officer registrado ante el Information Regulator.

PIPL, DPDPA y APPI: los marcos emergentes de Asia

China: PIPL (noviembre de 2021)

La Ley de Protección de la Información Personal de China (PIPL), en vigor desde noviembre de 2021, es la norma más extraterritorial de Asia. Se aplica a cualquier tratamiento de datos de personas en China, incluyendo empresas extranjeras. Las sanciones pueden alcanzar los 50 millones de CNY o el 5% de la facturación anual del año anterior, y la CAC puede ordenar la suspensión de actividades o la revocación de licencias. La PIPL impone restricciones muy estrictas a las transferencias transfronterizas: las empresas que superen umbrales de volumen de datos deben someterse a evaluaciones de seguridad del gobierno chino antes de transferir datos al extranjero.

India: DPDPA (agosto de 2023)

La Digital Personal Data Protection Act (DPDPA), promulgada en agosto de 2023, establece el primer marco comprensivo de privacidad en India. Aunque el reglamento de desarrollo aún está pendiente, las obligaciones principales incluyen: consentimiento granular, designación de un Data Protection Officer para procesadores de datos significativos, y notificación de brechas a la Junta de Protección de Datos. Las multas pueden alcanzar las 250 crore de rupias (aproximadamente 27 millones de euros).

Japón: APPI (revisión de 2022)

La Act on the Protection of Personal Information (APPI), modificada con efectos desde abril de 2022, refuerza los derechos de los interesados e introduce obligaciones de notificación de brechas. La Comisión de Protección de Información Personal (PPC) de Japón puede imponer multas de hasta 100 millones de yenes para personas jurídicas.

Estrategia de cumplimiento multi-jurisdiccional para empresas españolas

Primer paso: cartografía de flujos de datos por jurisdicción

El cumplimiento multi-jurisdiccional comienza con un inventario preciso de los flujos de datos. Para cada tratamiento de datos, la empresa debe identificar: (1) dónde residen o se ubican los titulares de los datos, (2) dónde se almacenan y procesan los datos, y (3) qué regulaciones se activan en función de estas coordenadas.

Las plataformas de verificación documental como CheckFile han procesado más de 2,4 millones de documentos en 32 jurisdicciones, lo que permite a los equipos de cumplimiento mapear con precisión los flujos de datos cross-border y las regulaciones aplicables a cada tipo de documento y cliente.

Segundo paso: construir sobre el RGPD

El RGPD es el marco más exigente en términos de granularidad de derechos y obligaciones de documentación. Una empresa española que disponga de:

  • Registro de actividades de tratamiento (artículo 30 RGPD)
  • Evaluaciones de impacto (EIPD) para tratamientos de alto riesgo
  • Procedimientos para gestión de derechos de interesados
  • Contratos DPA con encargados del tratamiento
  • Plan de respuesta ante brechas de seguridad

...dispone de entre el 60% y el 80% de las bases necesarias para cumplir con la LGPD, la POPIA y la APPI, dado que estos marcos se han inspirado explícitamente en el modelo europeo.

Tercer paso: capa de requisitos específicos

Sobre la base RGPD, cada jurisdicción añade requisitos que deben implementarse específicamente:

  • CCPA/CPRA: mecanismo de opt-out de venta/compartición de datos, contratos de servicio específicos, gestión de «datos sensibles» californianos.
  • LGPD: designación del Encarregado, gestión de la base jurídica de «protección del crédito», adaptación de avisos de privacidad al portugués brasileño.
  • POPIA: registro del Information Officer, adaptación del flujo de notificación de brechas, cumplimiento de las condiciones transfronterizas.
  • PIPL: evaluaciones de seguridad para transferencias a China, localización de datos para operadores de infraestructura crítica.

La gestión documental como núcleo del cumplimiento

Independientemente de la jurisdicción, el cumplimiento de privacidad requiere verificar, almacenar y gestionar documentos de identidad, contratos, consentimientos y registros de tratamiento con garantías de integridad e integridad. La plataforma CheckFile permite a los equipos de cumplimiento centralizar la verificación y el archivado documental con una tasa de cumplimiento en auditoría del 99,2%, reduciendo el tiempo de procesamiento en un 83% respecto a los procesos manuales. Con más de 85 clientes empresariales que operan en múltiples jurisdicciones, la plataforma gestiona la trazabilidad documental requerida tanto por el RGPD como por la LGPD, la POPIA y la CCPA.

Para una herramienta práctica de verificación de su nivel de cumplimiento global, consulte el checklist de auditoría de cumplimiento.

Transferencias internacionales de datos: el talón de Aquiles del cumplimiento global

Las transferencias internacionales de datos son el punto de fricción más frecuente en los programas de cumplimiento multi-jurisdiccional. Cada marco tiene sus propias reglas para autorizar la exportación de datos personales:

  • RGPD: decisiones de adecuación de la Comisión Europea, cláusulas contractuales tipo (CCT) actualizadas en 2021, normas corporativas vinculantes (BCR) o mecanismos del artículo 49 para situaciones específicas.
  • LGPD: autorización de la ANPD, decisión de adecuación, cláusulas estándar contractuales o normas corporativas globales.
  • POPIA: sujeto a que el destinatario esté en un país con protección adecuada o que el responsable asegure contractualmente el nivel de protección equivalente.
  • PIPL: evaluación de seguridad gubernamental para datos a gran escala, certificación de protección de datos personales, o cláusulas estándar de la CAC.

La Comisión Europea ha reconocido actualmente la adecuación de 15 países y territorios, incluyendo Japón desde 2019, lo que simplifica las transferencias UE-Japón y Japón-UE (Comisión Europea, decisiones de adecuación).

Cumplimiento sectorial: requisitos adicionales para entidades financieras españolas

Las entidades financieras españolas operan bajo una capa adicional de requisitos que interactúan con los marcos de privacidad global. El Banco de España, la CNMV y el Sepblac imponen obligaciones de KYC y AML que exigen la recogida y conservación de documentos de identidad. Este tratamiento debe articularse con el RGPD y, cuando el cliente reside en otra jurisdicción, con la normativa local aplicable.

Las fintech y entidades bancarias que captan clientes en Brasil deben cumplir simultáneamente con las Resoluções do Conselho Monetário Nacional (CMN) en materia de KYC, las circulares del Bacen y la LGPD. Del mismo modo, las operaciones en Sudáfrica exigen cumplir con el Financial Intelligence Centre Act (FICA) junto con la POPIA.

La regla práctica: cuando la normativa de prevención del blanqueo de capitales exige recopilar datos que el marco de privacidad restringiría, la base jurídica de obligación legal (artículo 6.1.c del RGPD, artículo 7.II de la LGPD) prevalece, pero no exime de cumplir los demás principios —minimización, conservación limitada, seguridad y transparencia.

Consulte también nuestra guía sobre AML6 y cumplimiento para sujetos obligados para el contexto específico de las obligaciones AML en Europa.

Seguridad técnica y organizativa: requisitos comunes

Todos los marcos de privacidad global convergen en exigir medidas técnicas y organizativas apropiadas para proteger los datos personales. Los estándares mínimos que satisfacen simultáneamente los requisitos del RGPD, la CCPA, la LGPD y la POPIA incluyen:

  • Cifrado en reposo y en tránsito para datos personales
  • Control de acceso basado en roles (RBAC) con principio de mínimo privilegio
  • Registros de auditoría para accesos a datos personales
  • Procesos de notificación de brechas con plazos definidos (72 horas RGPD, 72 horas LGPD, «razonablemente posible» POPIA)
  • Evaluaciones de riesgo periódicas de los sistemas de tratamiento
  • Formación documentada del personal con acceso a datos personales

La seguridad de la plataforma CheckFile está certificada y auditada para garantizar que los documentos procesados cumplen con los requisitos técnicos de todos los marcos mencionados, con cifrado AES-256, segregación de datos por cliente y registros de auditoría inmutables.

Preguntas frecuentes

¿Qué marco de privacidad prevalece cuando se solapan el RGPD y la CCPA?

Cuando una empresa española trata datos de consumidores californianos que también son residentes en la UE, ambos marcos se aplican simultáneamente y de forma independiente. No existe jerarquía entre ellos: la empresa debe cumplir con todos los requisitos de ambas normas. En la práctica, dado que el RGPD es más exigente en términos de base jurídica y documentación, una implementación completa del RGPD cubre la mayoría de los requisitos de la CCPA, aunque no todos: el mecanismo de opt-out de venta de datos de la CCPA no tiene equivalente exacto en el RGPD y debe implementarse de forma específica.

¿La LGPD se aplica a una empresa española que vende productos online a consumidores brasileños?

Sí. La LGPD se aplica siempre que el tratamiento de datos tenga por objeto ofrecer bienes o servicios a personas ubicadas en Brasil, independientemente de dónde esté establecida la empresa. Incluso una tienda online española que recibe pedidos de clientes brasileños recoge y trata datos de personas ubicadas en Brasil y queda sujeta a la LGPD. El criterio es el mismo que el del RGPD para la aplicación extraterritorial (artículo 3.2 RGPD).

¿Cuáles son los plazos de notificación de brechas de seguridad en los distintos marcos?

Los plazos varían significativamente: el RGPD y la LGPD exigen notificación a la autoridad de control en un plazo de 72 horas desde que el responsable tenga conocimiento de la brecha. La POPIA no fija un plazo en horas y exige notificación «tan pronto como sea razonablemente posible». La CCPA/CPRA no establece un plazo específico para notificación a la autoridad, pero obliga a notificar a los afectados sin demora injustificada. La PIPL exige notificación a los interesados de forma inmediata y a la CAC en los plazos que determine el reglamento de desarrollo.

¿Qué tamaño de empresa debe preocuparse por el cumplimiento multi-jurisdiccional?

El tamaño no es el criterio determinante: lo relevante es el alcance geográfico del tratamiento de datos. Una startup española con 20 empleados que tenga usuarios en California, Brasil y Sudáfrica está sujeta a la CCPA, la LGPD y la POPIA. Eso dicho, la mayoría de estos marcos establecen exenciones o simplificaciones para microempresas o volúmenes de datos muy pequeños. La CCPA exime a empresas con ingresos inferiores a 25 millones de dólares que no comercian con datos; la LGPD prevé regímenes diferenciados para pequeños agentes de tratamiento. Lo prudente es realizar una evaluación formal de aplicabilidad antes de descartarla.

¿Cómo puede CheckFile ayudar con el cumplimiento de privacidad en múltiples jurisdicciones?

CheckFile ofrece una plataforma de verificación y gestión documental diseñada para entornos multi-jurisdiccionales. La plataforma procesa documentos de identidad, contratos y expedientes de cumplimiento con controles de acceso granulares, cifrado de extremo a extremo y registros de auditoría que satisfacen los requisitos de conservación y trazabilidad del RGPD, la LGPD, la POPIA y la CCPA. Los equipos de cumplimiento pueden centralizar la gestión de solicitudes de derechos de interesados y automatizar los plazos de conservación mediante las herramientas disponibles en CheckFile Tarifas.

Este artículo tiene carácter exclusivamente informativo y no constituye asesoramiento jurídico. Los marcos regulatorios descritos están sujetos a cambios frecuentes. Para situaciones concretas, consulte con un abogado especializado en protección de datos con experiencia en las jurisdicciones relevantes.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Guía15 min

Checklist de auditoría de cumplimiento: cómo prepararse y superar un control regulatorio

Checklist completa para preparar una auditoría de cumplimiento KYC/AML. Pasos, documentos necesarios y buenas prácticas para superar los controles del Sepblac y la CNMV.

Leer
Guía10 min

Archivo electrónico: requisitos legales, mejores prácticas y herramientas

Guía completa sobre el archivo electrónico en España: marco legal, plazos de conservación, normas técnicas, herramientas y mejores prácticas para empresas en 2026.

Leer
Guía11 min

Antifraude documental: mejores prácticas para equipos de verificación

Mejores prácticas antifraude para equipos de tratamiento documental. Detección de documentos falsos, controles internos, formación y herramientas IA según normativa española.

Leer