Los estados de EE. UU. impusieron 3.450 millones de dólares en multas relacionadas con la privacidad a empresas en 2025, un total mayor que los últimos cinco años combinados, según la firma de investigación y asesoría Gartner.

El aumento se debe en parte a leyes de privacidad más sólidas y establecidas en estados como California, nuevas asociaciones interestatales creadas para hacer cumplir las leyes a través de las fronteras estatales y un enfoque renovado sobre cómo la IA y la automatización afectan la privacidad.

Los datos indican que “los reguladores están desviando sus esfuerzos de la concientización a la aplicación a gran escala”, lo que marca un cambio significativo incluso respecto de los últimos años en la agresividad con la que los estados investigan y penalizan a las empresas por violaciones de las leyes de privacidad.

«Esto se convertirá cada vez más en el estándar en 2026 y durante los próximos dos años», concluye el análisis de Gartner.

El Ley de Privacidad del Consumidor de California Las disposiciones sobre privacidad del consumidor entraron en vigor en 2023, pero durante años su aplicación estuvo en gran medida inactiva. Según Nader Heinen, analista de protección de datos e inteligencia artificial de Gartner y coautor de la investigación, ese retraso en la aplicación refleja la forma en que otras leyes de privacidad importantes, como la europea Reglamento Global de Protección de Datosse han llevado a cabo con el fin de “liderar con un poco de orientación” a las empresas y al mismo tiempo utilizar la aplicación de la ley con moderación.

Pero esa era parece haber terminado. En 2025, la Agencia de Protección de la Privacidad de California ha utilizado la ley para perseguir a los infractores en una amplia gama de industrias, no solo grandes conglomerados, sino también pequeñas y medianas empresas de tecnología, la industria automotriz y productos de consumo, incluidos bienes y prendas de vestir disponibles en el mercado.

Heinen dijo que algunas empresas “no estaban prestando atención” y es posible que se hayan dejado llevar por una falsa sensación de complacencia cuando los reguladores reforzaron sus equipos de aplicación de la ley, lo que llevó a un duro 2025.

«Desafortunadamente, lo que sucede cuando pasa tanto tiempo entre la legislación y el inicio de su aplicación regular es que muchas organizaciones dejan que su programa de privacidad se atrofie», dijo.

Los estados también han tratado de combinar sus recursos para atacar y penalizar a los violadores de la privacidad a través de las fronteras estatales. El año pasado, diez estados se unieron para formar el Consorcio de reguladores de privacidadcomprometiéndose a coordinar las investigaciones y la aplicación de las leyes de privacidad comunes en torno al acceso, la eliminación y la prevención de la venta de información personal.

Más allá de leyes como la CCPA, los estados han estado actualizando las leyes existentes de privacidad y protección de datos para abordar más directamente los daños causados ​​por las tecnologías automatizadas de toma de decisiones, incluida la inteligencia artificial. Los reguladores estatales de privacidad se centran especialmente en cómo se utilizan los datos personales o privados para entrenar sistemas de inteligencia artificial y ayudarlos a hacer inferencias.

Gartner espera que las multas por privacidad aumenten aún más en los próximos años y Heinen dijo que los estados probablemente volverán a liderar el camino en la construcción de la infraestructura legal para hacer cumplir la privacidad de los datos en la era de la IA, a medida que se convierten en el principal conducto de la ansiedad persistente sobre los posibles impactos negativos de la tecnología.

«Hay que ponerse en la posición de estas legislaturas estatales», dijo Heinen. «Sus electores -el público votante- les están diciendo que estamos preocupados por la IA. La ansiedad por la IA es una cosa. Todo el mundo está preocupado por si la IA les quitará el trabajo o afectará su capacidad para encontrar un empleo, por lo que quieren que se implemente legislación para protegerlos».

El mes pasado, los republicanos de la Cámara de Representantes dieron a conocer su último intento de aprobar una legislación federal integral sobre privacidad con un proyecto de ley que prevalecería sobre leyes estatales más estrictas como las de California. En particular, la CCPA otorga a los residentes un derecho de acción privado (el derecho legal a demandar directamente a las empresas) por violación de las leyes de privacidad.

El lunes, Tom Kemp, director ejecutivo de la Agencia de Protección de la Privacidad de California, escribió al presidente de la Cámara de Energía y Comercio, Brett Guthrie, republicano por Kentucky, para oponerse al proyecto de ley, argumentando que proporcionaría “un techo” para la protección de la privacidad de los datos de los estadounidenses en lugar de un “piso” sobre el cual construir.

«La preferencia eliminaría importantes disposiciones estatales de privacidad existentes que protegen a decenas de millones de estadounidenses en la actualidad», escribió Kemp. «Eso sería un importante paso atrás en la protección de la privacidad en un momento en que las personas están cada vez más preocupadas por su privacidad y seguridad en línea, y cuando los desafíos que plantean las nuevas tecnologías con uso intensivo de datos, como la IA, se están desarrollando rápidamente».