Entender la legislación sobre cookies e implantar soluciones eficaces de gestión del consentimiento se ha convertido en algo crucial para cualquier sitio web. Esta guía explora las diferencias entre las normativas europea y estadounidense, analiza el funcionamiento del Modo Consentimiento de Google y compara las principales soluciones de gestión del consentimiento.

‍

Ley de cookies y gestión del consentimiento: actualizaciones 2025

Entender la legislación sobre cookies e implantar soluciones eficaces de gestión del consentimiento se ha convertido en algo fundamental para cualquier sitio web. Esta guía explora las diferencias entre las normativas europea y estadounidense, analiza el funcionamiento del Modo Consentimiento de Google y compara las principales soluciones de gestión del consentimiento, con las últimas actualizaciones hasta 2025.

‍

Legislación europea: GDPR y Directiva ePrivacy

En Europa, la protección de los datos personales y la privacidad en línea se rigen principalmente por dos textos legislativos:

El GDPR (Reglamento General de Protección de Datos)

El GDPR, que entrará en vigor en 2018, impone requisitos estrictos sobre el tratamiento de datos personales, estableciendo principios fundamentales:

• Legalidad y transparencia: todo tratamiento debe tener una base jurídica válida
• Minimización de datos: recoger sólo los datos necesarios
• Seguridad: garantizar medidas de protección adecuadas

Para recoger y tratar datos personales (incluidos identificadores en línea como las cookies), es necesario disponer de una base jurídica válida, como su consentimiento explícito, un interés legítimo o una obligación contractual.

‍

Las infracciones del GDPR pueden acarrear sanciones muy elevadas, de hasta el 4 % de la facturación global de la empresa.

La Directiva sobre la privacidad y las comunicaciones electrónicas

La Directiva sobre la privacidad y las comunicaciones electrónicas (2002/58/CE, modificada en 2009) se centra específicamente en la privacidad en las comunicaciones electrónicas, incluido el uso de cookies y tecnologías de seguimiento.

El apartado 3 del artículo 5 de la Directiva establece que es obligatorio obtener el consentimiento previo del usuario antes de almacenar o acceder a información en su dispositivo, salvo excepciones (como las cookies técnicas estrictamente necesarias).

En la práctica, esto significa que los sitios web europeos deben:

• Informar claramente al usuario sobre la finalidad de las cookies
• Recabar el consentimiento libre, específico e informado antes de instalar cookies no esenciales.
• Permitir al usuario rechazar y modificar sus preferencias en cualquier momento

Las autoridades europeas de privacidad han sancionado activamente las infracciones: por ejemplo, la CNIL francesa multó a Google y Amazon entre 2020 y 2022 por depositar cookies de seguimiento sin un consentimiento válido.

‍

Actualizaciones 2025

En marzo de 2024 entró en vigor la Ley de Mercados Digitales (DMA) de la UE, que endureció aún más los requisitos de consentimiento para las grandes plataformas tecnológicas, lo que afectó significativamente a la gestión de cookies y seguimiento. Esto ha llevado a empresas como Google a actualizar sus soluciones de gestión del consentimiento.

‍

En febrero de 2025, la Comisión de la UE retiró oficialmente su propuesta de nuevo Reglamento sobre la privacidad y las comunicaciones electrónicas, manteniendo en vigor la Directiva existente. Esto significa que los requisitos de consentimiento para las cookies se mantienen como hasta ahora, siguen siendo vinculantes y están sujetos a una aplicación estricta en toda Europa.

‍

El Tribunal de Justicia de las Comunidades Europeas dictó una importante sentencia en marzo de 2024 sobre el caso IAB TCF, con importantes implicaciones para la aplicación del Marco de Transparencia y Consentimiento, que las empresas aún están asimilando.

‍

Normativa estadounidense: CCPA, CPRA y evolución estatal

En EE.UU., a diferencia de la UE, no existe una ley federal general de privacidad comparable al GDPR. La regulación se produce a nivel estatal y sectorial, con importantes avances en los últimos años.

CCPA (Ley de Privacidad del Consumidor de California) y CPRA (Ley de Derechos de Privacidad de California)

La CCPA, que entró en vigor en 2020, ha sido reforzada por la CPRA (en vigor desde 2023), acercándola aún más al modelo europeo.

La CPRA lo ha hecho:

• Introdujo el concepto de "compartir" datos, además del de "vender".
• Dar a los consumidores el derecho a optar incluso por no compartir sus datos personales con fines de publicidad contextual cruzada.
• Definición de una categoría de datos personales sensibles con derecho específico a restringir su uso.
• Ampliación de los derechos existentes y creación de una agencia específica, la Agencia de Protección de la Privacidad de California (CPPA).

Actualizaciones 2025

Entre 2023 y 2025, el panorama de la privacidad en Estados Unidos experimentó una rápida evolución:

A partir de enero de 2025, hasta 20 estados de EE.UU. cuentan ya con leyes exhaustivas sobre privacidad de datos, y ocho nuevas leyes entrarán en vigor en 2025. Esto significa que aproximadamente el 40% de los consumidores estadounidenses tienen ahora derechos de privacidad digital. Sin embargo, la fragmentación normativa plantea un reto importante para las empresas, que deben navegar entre requisitos a menudo similares pero no idénticos.

‍

California sigue a la vanguardia, con la CPPA particularmente activa en 2024-2025. La agencia emitió varias sanciones significativas, incluida una multa de 6,75 millones de dólares a una empresa de software en la nube en 2024. También emitió nuevos reglamentos propuestos sobre ciberseguridad, evaluaciones de riesgos y tecnologías de decisión automatizada (ADMT), con un período de comentarios públicos abierto hasta junio de 2025.

‍

Entre los avances más relevantes en la gestión de cookies, California amplió la definición de "información personal sensible" para incluir los "datos neuronales" (información generada por la medición de la actividad del sistema nervioso) y aclaró que la información personal también incluye formatos digitales y abstractos, como los generados por la inteligencia artificial.

‍

Delaware aprobó una ley de privacidad que, a diferencia de otras, no exime de su cobertura a las organizaciones sin ánimo de lucro ni a las instituciones académicas, lo que amplía considerablemente su ámbito de aplicación.

‍

A diferencia de la UE, el modelo estadounidense sigue basándose principalmente en la exclusión voluntaria y no en el consentimiento previo. Por tanto, un sitio web estadounidense que preste servicios a usuarios de la UE tendrá que adoptar un banner conforme al RGPD para esos usuarios, mientras que para los usuarios estadounidenses podría limitarse a mostrar un aviso y un enlace de exclusión voluntaria sin bloquear las cookies de antemano.

‍

IAB TCF: Marco de Transparencia y Consenso

El Interactive Advertising Bureau (IAB) Europe ha desarrollado el Marco de Transparencia y Consentimiento (TCF) como un estándar de la industria para ayudar a las empresas a gestionar el consentimiento del usuario en cumplimiento del GDPR y la Directiva de ePrivacidad, particularmente relevante en el contexto de la publicidad digital.

Desarrollo y versiones del TCF

El FCT ha tenido varias iteraciones:

• TCF v1.1: lanzado en abril de 2018
• TCF v2.0: se lanzará en agosto de 2019
• TCF v2.1: lanzado en agosto de 2020, alineado con la sentencia Planet49 del Tribunal de Justicia de la UE.
• TCF v2.2: puesta en marcha en mayo de 2023, aplicada antes de noviembre de 2023, en respuesta a un plan de acción acordado con la Autoridad Belga de Protección de Datos (DPA).

TCF v2.2: Principales cambios

El TCF v2.2 introdujo cambios importantes:

1. Supresión del interés legítimo como base jurídica para la personalización de la publicidad y los contenidos. Para los fines 3, 4, 5 y 6 (creación de perfiles publicitarios personalizados, selección de anuncios personalizados, creación de perfiles de contenidos personalizados y selección de contenidos personalizados), ahora solo se permite el consentimiento explícito.
2. Descripciones más fáciles de usar que sustituyen a la información legal sobre fines y funcionalidad, lo que hace que la comunicación con los usuarios sea más clara y accesible.
3. Normalización y ampliación de la información sobre proveedores, incluidas las categorías de datos recogidos, los periodos de conservación y orientaciones sobre la aplicación del interés legítimo.
4. Requisitos más estrictos para los editores, que deben revelar el número total de proveedores y Google Ad Tech Providers utilizados ya en el primer nivel del CMP.
5. Mecanismos de aplicación mejorados, con nuevos procesos de auditoría y procedimientos de aplicación diferenciados.

TCF v2.3: Últimos avances

En abril de 2025, IAB Tech Lab e IAB Europe abrieron la especificación técnica TCF v2.3 para comentarios públicos, con un periodo de comentarios hasta el 19 de mayo de 2025. La actualización tiene como objetivo proporcionar una mayor claridad a los vendedores en escenarios específicos en los que no está claro si los datos han sido revelados al usuario, lo cual es particularmente importante cuando un vendedor tiene la intención de procesar datos para fines especiales basados en el interés legítimo.

El calendario del TCF v2.3 incluye:

• Finales de mayo de 2025: finalización de las especificaciones técnicas
• 1 de febrero de 2026: Fecha límite para que todos los gestores de contenidos y proveedores actualicen su aplicación para que sea compatible con la versión 2.3.

Modo Consentimiento de Google: qué es y cómo funciona

Para ayudar a los sitios web y a los anunciantes a respetar las opciones de consentimiento de los usuarios, Google introdujo el Modo de consentimiento, una solución técnica que ajusta el comportamiento de las etiquetas de Google en función del estado de consentimiento del usuario.

Modo Consentimiento Google V2

En noviembre de 2023, Google lanzó el Modo Consentimiento V2, de aplicación obligatoria en marzo de 2024 para los sitios que utilizan los servicios de Google y recopilan datos de usuarios en el Espacio Económico Europeo (EEE). Esta actualización se diseñó específicamente para alinearse con la Ley de Mercados Digitales (DMA) de la UE.

El Modo Consentimiento V2 introduce dos nuevos parámetros además de los originales:

• ad_storage y analytics_storage (existentes): controlan el almacenamiento de cookies publicitarias y analíticas.
• ad_user_data (nuevo): gestiona el consentimiento para el uso de datos personales con fines publicitarios
• ad_personalisation (nuevo): gestiona el consentimiento para el uso de datos para remarketing personalizado

A diferencia de ad_storage y analytics_storage, estos nuevos parámetros no influyen en el comportamiento de las etiquetas en el propio sitio, sino que son parámetros adicionales que se envían a los servicios de Google para indicar cómo se pueden utilizar los datos del usuario.

Métodos de aplicación

Google Consent Mode V2 tiene dos modos de implementación:

1. Modo de consentimiento básico: Las etiquetas de Google están completamente bloqueadas hasta que el usuario interactúa con el banner de consentimiento. Si el usuario no da su consentimiento, no se recopila ninguna información.
2. Modo de consentimiento avanzado: Las etiquetas de Google se cargan antes de que el usuario interactúe con el banner. Si el usuario no da su consentimiento, las etiquetas funcionan en modo limitado, enviando "pings anónimos" (sin identificadores de usuario) que Google utiliza para modelar estadísticamente los resultados.

Es importante señalar que algunos expertos en privacidad han planteado dudas sobre la conformidad del modo avanzado con la normativa de protección de datos, ya que los "pings" podrían representar datos personales tratados sin consentimiento.

Impacto en la comercialización y el análisis

Sin el Modo Consentimiento de Google, las plataformas publicitarias no pueden adquirir datos sobre nuevos usuarios del EEE, lo que limita significativamente la capacidad de recopilar datos sobre la audiencia, medir la eficacia de las campañas y aplicar estrategias publicitarias específicas.

‍

Con el Modo Consentimiento V2, los sitios web pueden seguir recopilando datos analíticos básicos incluso cuando los usuarios no han dado su consentimiento a las cookies, mediante técnicas avanzadas de modelado que respetan las preferencias de consentimiento.

‍

‍

Soluciones de gestión del consentimiento (CMP)

Para cumplir toda esta normativa, los sitios web utilizan Plataformas de Gestión del Consentimiento (CMP) que proporcionan banners e interfaces para obtener el consentimiento de los usuarios y mecanismos para respetar estas elecciones.

El papel del IAB en el CMP

El IAB desempeña un papel clave en la certificación de las CMP a través del marco TCF. Un CMP certificado por el TCF v2.2 de la IAB debe:

1. Mostrar información clara sobre los fines del tratamiento de datos
2. Recogida de consentimientos granulares para distintos fines
3. Los usuarios pueden cambiar fácilmente sus preferencias
4. Almacenamiento seguro de consentimientos (TC String)
5. Comunicar estas preferencias a todos los proveedores en el formato TCF normalizado.

En 2023-2024, Google introdujo requisitos de certificación específicos para los CMP que deseen admitir anuncios de Google en la UE y el Reino Unido, siendo el principal requisito el cumplimiento actualizado del TCF de la IAB. Los CMP certificados por Google pueden utilizar los productos de Google Ads y están incluidos en una lista oficial.

Comparación de las principales soluciones CMP hasta 2025

Finweet (Finsweet Cookie Consent)

Una solución especialmente orientada a sitios construidos con Webflow, con total compatibilidad con IAB TCF v2.2 y Google Consent Mode v2.

Ventajas:

• Gratuito (versión básica)
• Personalización gráfica total (el banner está integrado directamente en el diseñador Webflow)
• Enfoque sin código para usuarios de Webflow

Desventajas:

• Requiere conocimientos técnicos para su correcta aplicación
• La versión gratuita sólo cubre aspectos básicos del GDPR
• Se requiere una suscripción para funciones avanzadas como el Modo Consentimiento v2 de Google.

Ideal para: desarrolladores o agencias que trabajen con Webflow y deseen un control total y un diseño personalizado.

CookieSí

Una solución plug-and-play actualizada para soportar IAB TCF v2.2 y Google Consent Mode v2, ahora con certificación Gold como Google CMP Partner.

Ventajas:

• Facilidad de uso (basta con copiar y pegar el código)
• Análisis automático de las cookies del sitio
• Actualizaciones periódicas para cumplir la normativa
• Asistencia para la resolución de problemas relacionados con la aplicación del modo de consentimiento de Google v2

Desventajas:

• Opciones de personalización limitadas
• Modelo de suscripción recurrente
• Puede ser demasiado simplista para las marcas exigentes

Ideal para: sitios pequeños o propietarios que quieren ponerse al día rápidamente.

Solución Iubenda Cookie

Iubenda es una empresa italiana que ofrece un conjunto completo de herramientas de cumplimiento, totalmente actualizado para soportar IAB TCF v2.2 y Google Consent Mode v2.

Ventajas:

• Solución todo en uno (incluye generadores multilingües de políticas de privacidad y cookies)
• Certificado TCF v2.2 de la IAB
• Socios de Google para el Modo Consentimiento v2
• Lleva un registro de consentimientos por auditoría
• Apoyo a la geolocalización de usuarios y gestión diferenciada UE/EE.UU.

Desventajas:

• Cuota de servicio (con planes anuales basados en los servicios utilizados)
• Puede estar sobredimensionado para sitios muy pequeños
• Para los usuarios de Webflow, no es "nativo" como Finsweet

Ideal para: empresas que buscan una solución profesional y completa con un mantenimiento mínimo.

Cookiebot (Usercentrics CMP)

Una de las primeras soluciones CMP SaaS populares, que ahora forma parte de la plataforma Usercentrics.

Ventajas:

• Automatización del cumplimiento de cookies
• Escaneo periódico de rastreadores y cookies, clasificándolos automáticamente
• Generación de una política de cookies dinámica actualizada
• Certificado para TCF v2.2 y compatible con Google Consent Mode v2
• Apoyo al cumplimiento multijurisdiccional (UE y EE.UU.)

Desventajas:

• Modelo de negocio freemium con costes que crecen con el tráfico
• Personalización moderada de banners
• No completamente dibujable desde cero como con Finsweet

Ideal para: sitios de tamaño medio y empresas que desean delegar la gestión de cookies a la automatización.

UniConsent

Un CMP emergente que ofrece una solución completa para la integración con Google Consent Mode V2 y IAB TCF v2.2.

Ventajas:

• Fácil integración con Google Consent Mode V2 (Básico y Avanzado)
• Compatibilidad con el TCF v2.2 de la IAB
• Configuración simplificada con Google Analytics 4 (GA4)
• Cuadro de mandos intuitivo para la gestión del consentimiento

Desventajas:

• Marca menos consolidada que otras soluciones
• Disponibilidad de documentación menos extensa

Ideal para: empresas que buscan una solución centrada en la integración con Google Consent Mode V2.

Soluciones para empresas

Para las grandes organizaciones multinacionales, existen CMP empresariales como OneTrust, TrustArc, Didomi, Usercentrics, Osano, etc.

Ventajas:

• Integraciones profundas con sistemas empresariales (CRM, etc.)
• Personalización avanzada
• Gestión del consentimiento multicanal (web, aplicación móvil, televisión conectada)
• Formularios de cumplimiento más allá de las cookies (gestión de las solicitudes de las partes interesadas, evaluaciones de impacto)
• Asistencia mundial para el cumplimiento de normativas en varias jurisdicciones

Desventajas:

• Presupuestos elevados
• Aplicación compleja
• Requieren asesoramiento especializado

Ideal para: grandes empresas con presencia mundial y necesidades complejas de gestión del consenso.

Conclusiones

La adaptación a la normativa sobre cookies/privacidad requiere tanto una comprensión jurídica de las diferentes normativas como la aplicación de soluciones técnicas adecuadas.

‍

En Europa prevalece un régimen estricto de consentimiento previo, mientras que en EE.UU. prevalece la exclusión voluntaria con obligación de transparencia, aunque las leyes estatales evolucionan progresivamente hacia normas más estrictas, acercándose al modelo europeo.

‍

Herramientas como Google Consent Mode V2 y IAB TCF v2.2/v2.3 ayudan a salvar la distancia entre marketing y privacidad, permitiendo a los sitios utilizar servicios de análisis y publicidad al tiempo que cumplen la legislación sobre cookies.

‍

La elección de la plataforma de gestión del consentimiento depende de factores como el tamaño del sitio, los recursos técnicos disponibles, el presupuesto y la necesidad de cumplimiento multinacional. Lo importante es dar a los usuarios un control real sobre sus datos y permitir que el sitio funcione con transparencia y de conformidad con la legislación aplicable.

‍

Las empresas que operan tanto en Europa como en Estados Unidos tendrán que seguir navegando por un panorama normativo complejo y en evolución, adaptando sus soluciones de gestión del consentimiento a las distintas jurisdicciones.

‍

Preguntas frecuentes sobre la legislación sobre cookies y la gestión del consentimiento

¿Cuáles son las principales diferencias entre la legislación europea y la estadounidense sobre cookies?

En Europa (GDPR y Directiva ePrivacy) prevalece un modelo opt-in: debe obtenerse el consentimiento explícito del usuario antes de utilizar cookies no esenciales. Por el contrario, en Estados Unidos (CCPA/CPRA y otras leyes estatales) prevalece un modelo de exclusión voluntaria: las cookies pueden utilizarse hasta que el usuario se oponga explícitamente, y las empresas deben proporcionar una forma clara de excluirse de la venta/compartición de datos.

‍

¿Qué cookies pueden utilizarse en Europa sin el consentimiento del usuario?

En Europa sólo pueden utilizarse sin consentimiento las cookies "estrictamente necesarias" (o "técnicas"). Entre ellas se incluyen las cookies esenciales para el funcionamiento del sitio, como las de autenticación, las de almacenamiento de artículos en un carrito de la compra de comercio electrónico o las de seguridad del sitio.

‍

¿Qué es el Modo Consentimiento V2 de Google y por qué es importante?

Google Consent Mode V2 es una interfaz que comunica a Google las opciones de consentimiento del usuario. Introduce cuatro parámetros de consentimiento (ad_storage, analytics_storage, ad_user_data, ad_personalisation) que rigen el comportamiento de las etiquetas de Google. Es importante porque permite a los sitios equilibrar la medición del rendimiento del marketing con el cumplimiento de la privacidad, y será obligatorio a partir de marzo de 2024 para los sitios que utilicen los servicios de Google en Europa.

‍

¿Cómo elijo la solución CMP más adecuada para mi centro?

La elección depende de varios factores: tamaño y tráfico del sitio, presupuesto disponible, conocimientos técnicos internos, plataforma en la que está construido el sitio (por ejemplo, Webflow, WordPress) y requisitos de cumplimiento específicos. También es importante comprobar si el CMP está certificado por IAB TCF v2.2 y es compatible con Google Consent Mode V2, especialmente si se utilizan los servicios publicitarios de Google.

‍

¿Es necesario el banner de cookies también para un sitio que no utiliza cookies de marketing o analíticas?

En Europa, técnicamente sí. Incluso si el sitio utiliza únicamente cookies esenciales, sigue siendo necesario informar a los usuarios sobre qué cookies se utilizan. Sin embargo, en este caso no es necesario solicitar el consentimiento, por lo que el banner puede simplificarse en un aviso informativo que no requiera interacción.

‍

¿Cuáles son las sanciones por incumplimiento de la legislación sobre cookies?

En Europa, las infracciones del GDPR pueden dar lugar a sanciones de hasta el 4 % de la facturación global anual o 20 millones de euros, la cantidad que sea mayor. En California, las infracciones de la CCPA/CPRA pueden dar lugar a sanciones civiles de hasta 2.500 dólares por infracción no intencionada y 7.500 dólares por infracción intencionada, así como a posibles demandas de los consumidores. Los organismos reguladores se han mostrado más activos en la aplicación de la ley, con la imposición de varias multas importantes en los últimos años.

‍

¿Sustituye el Modo Consentimiento de Google V2 la necesidad de un banner de cookies?

No, Google Consent Mode V2 no sustituye a la cookie de banner, sino que funciona conjuntamente con ella. Sigue siendo necesario un sistema que recoja el consentimiento del usuario (CMP), que luego comunicará las preferencias a Google Consent Mode para regular el comportamiento de las etiquetas.

‍

¿Cómo gestionar los consentimientos de un sitio que tiene usuarios tanto en Europa como en Estados Unidos?

La mejor solución es implantar un sistema que reconozca la ubicación geográfica del usuario y muestre la interfaz adecuada: un banner de opt-in para los usuarios europeos y un aviso de opt-out para los estadounidenses. Los gestores de contenidos más avanzados ofrecen esta función de orientación geográfica.

‍

¿Qué es el TCF de la IAB y por qué es importante?

El Marco de Transparencia y Consentimiento (TCF) de la IAB es una norma del sector que ayuda a las empresas a gestionar el consentimiento de los usuarios de conformidad con el RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas, en particular en el contexto de la publicidad digital. Proporciona un mecanismo estandarizado para recopilar, almacenar y compartir las preferencias de consentimiento de los usuarios entre editores, anunciantes y proveedores de tecnología publicitaria. La última versión, TCF v2.2, está diseñada para mejorar la transparencia y la rendición de cuentas, y se desarrolló en respuesta a las orientaciones de las autoridades de protección de datos.

‍

¿Cuáles son las principales novedades del TCF v2.3?

La TCF v2.3, actualmente en consulta pública hasta mayo de 2025, pretende ofrecer más claridad a los vendedores en situaciones específicas en las que no está claro si los datos se han revelado al usuario. Esta distinción es especialmente importante cuando un proveedor pretende tratar datos para fines especiales sobre la base de un interés legítimo. Se espera que las especificaciones técnicas estén terminadas a finales de mayo de 2025, con un plazo de aplicación hasta el 1 de febrero de 2026.

‍

Fuentes

1. IAB Europe (2025). El TCF v2.3 está abierto a comentarios públicos". IAB Tech Lab. https://iabtechlab.com/tcf-v2-3-is-open-for-public-comment/
2. IAB Europe (2025). "Lanzamiento del TCF 2.2 Todo lo que hay que saber". https://iabeurope.eu/tcf-2-2-launches-all-you-need-to-know/
3. IAB Europe (2025). "Recursos de apoyo al TCF". https://iabeurope.eu/tcf-supporting-resources/
4. Google (2025). Actualizaciones del modo de consentimiento para el tráfico del Espacio Económico Europeo (EEE)". Ayuda de Google Tag Manager. https://support.google.com/tagmanager/answer/13695607
5. Termly (2025). "¿Qué es Google Consent Mode v2?" . https://termly.io/resources/articles/what-is-google-consent-mode-v2/.
6. Cookieyes (2024). "¿Qué es el Modo Consentimiento V2 de Google? ¿Cómo implementarlo?" . https://www.cookieyes.com/blog/google-consent-mode-v2/.
7. CookieFirst (2024). "Google Consent Mode V2 explained". https://cookiefirst.com/google-consent-mode-v2-released/
8. Bloomberg Law (2025). "¿Qué Estados tienen leyes de protección de datos de los consumidores?" . https://pro.bloomberglaw.com/insights/privacy/state-privacy-legislation-tracker/.
9. IAPP (2025). "US State Privacy Legislation Tracker". https://iapp.org/resources/article/us-state-privacy-legislation-tracker/
10. Agencia de Protección de la Privacidad de California (2025). "Proposed Regulations on CCPA Updates, Cybersecurity Audits, Risk Assessments, Automated Decisionmaking Technology (ADMT), and Insurance Companies" . https://cppa.ca.gov/regulations/ccpa_updates.html.
11. White & Case LLP (2025). "Data Privacy Update". https://www.whitecase.com/insight-alert/data-privacy-update-2025
12. Asociación de Abogados de California (2025). "State Privacy Law in 2025-What to Expect". https://calawyers.org/privacy-law/state-privacy-law-in-2025-what-to-expect/