Año nuevo, nuevo panorama de privacidad. La temporada pasada nos dejó con la impresionante cifra de siete nuevas leyes estatales integrales de privacidad, con estados como Kentucky, Maryland, Minnesota, Nebraska, New Hampshire, Nueva Jersey y Rhode Island optando por brindar mayor protección a sus ciudadanos en el cambiante mundo digital.
Ahora bien, muchas de esas semillas de legislación sobre privacidad florecerán en 2025. Hagamos un rápido resumen de cada ley integral de privacidad estatal que entrará en vigencia este año.
1. Delaware
Ley de Privacidad de Datos Personales de Delaware (DPDPA), que entró en vigor el 1 de enero de 2025Establece protecciones integrales de privacidad para los residentes del estado, convirtiendo a Delaware en la última en unirse a la creciente lista de jurisdicciones estadounidenses con una sólida legislación en materia de privacidad. La Ley obliga a las empresas a mejorar la transparencia en sus prácticas de datos y exige... consentimiento expreso al recopilar o utilizar datos personales sensibles, como información relacionada con la raza, la religión, las condiciones de salud, datos biométricos, y ubicación.
Con la nueva ley, los consumidores de Delaware obtienen poderosos derechos sobre sus información personalEllos pueden no participar de la venta de sus datos, la publicidad dirigida y ciertos tipos de toma de decisiones automatizada. La DPDPA también incluye hitos de implementación por fases: desde 1 de julio de 2025Las empresas deben realizar evaluaciones de protección de datos para ciertas actividades de procesamiento y comenzar 1 de enero de 2026, deben honrar exclusión universal Señales para las preferencias del consumidor. Además, el "derecho a subsanar" obligatorio por infracciones terminará el 31 de diciembre de 2025, después de lo cual la ejecución por parte de la oficina del Fiscal General de Delaware ya no requerirá un período de gracia.
2. Iowa
En Ley de Protección de Datos del Consumidor de Iowa (ICDPA) entró en vigor el 1 de enero de 2025 y se dirige a las empresas que controlan o procesan los datos personales de al menos 100,000 consumidores de Iowa o que obtienen más del 50% de sus ingresos de la venta de datos personales de al menos 25,000 residentes de Iowa. La ley impone multas de hasta $7,500 por infracción, pero con un generoso período de subsanación de 90 días, que no vence, lo que brinda a las empresas tiempo suficiente para abordar el incumplimiento.
En particular, la ICDPA es más favorable para las empresas en comparación con otras leyes estatales, ya que carece de ciertos requisitos como el reconocimiento de mecanismos universales de exclusión voluntaria, la realización de evaluaciones de impacto sobre la privacidad o la obtención de consentimiento expreso para el procesamiento de datos confidenciales.
3. Maryland
En Ley de Protección de Datos en Línea de Maryland (MODPA) Entrará en vigor el 1 de octubre de 2025La MODPA se aplica a las empresas que operan en Maryland o que se dirigen a los residentes de Maryland. Las organizaciones están sujetas a la ley si, durante el año calendario anterior, controlaron o procesaron los datos personales de al menos 35,000 consumidores (excluyendo los datos de transacciones de pago) o procesaron los datos personales de al menos 10,000 consumidores, obteniendo más de 20% de ingresos brutos por la venta de datos personales.
El incumplimiento puede resultar en sanciones de hasta 10.000 T/T por infracción y 25.000 T/T por infracciones reiteradas. El plazo de subsanación de 60 días, disponible hasta el 1 de abril de 2027, queda a discreción del Fiscal General de Maryland.
4. Minnesota
En Ley de Privacidad de Datos del Consumidor de Minnesota (MCDPA) Está previsto que entre en vigor el 31 de julio de 2025Establece obligaciones de privacidad para las empresas que se dirigen a los residentes de Minnesota. Se aplica a las organizaciones que procesan anualmente los datos personales de al menos 100,000 consumidores o que obtienen más del 251% de sus ingresos brutos de la venta de datos personales mientras procesan los datos personales de al menos 25,000 consumidores.
Los infractores se enfrentan a multas de hasta $7,500, con un plazo de subsanación de 30 días disponible hasta el 31 de enero de 2026. Cabe destacar que la MCDPA exime a las pequeñas empresas, aunque deben obtener el consentimiento expreso antes de vender datos personales sensibles. La ley también exige, de forma única, la elaboración de inventarios de datos, una medida que promueve un cumplimiento más amplio, pero que rara vez se exige por ley.
5. Nebraska
En Ley de Privacidad de Datos de Nebraska (NDPA) entró en vigor a partir de 1 de enero de 2025 y establece obligaciones de privacidad para las entidades que operan en Nebraska u ofrecen productos y servicios a sus residentes. A diferencia de muchas leyes estatales de privacidad, la NDPA se aplica a las organizaciones que procesan o venden datos personales, independientemente del volumen de datos, siempre que no estén clasificadas como pequeñas empresas según el código federal. Directrices de la Administración de Pequeñas Empresas.
Los infractores se enfrentan a sanciones de hasta $7,500 por infracción, con un plazo de subsanación de 30 días que no vence. Si bien las pequeñas empresas están exentas de la mayoría de los requisitos, deben obtener el consentimiento expreso antes de vender datos personales confidenciales.
6. Nuevo Hampshire
En Ley de Privacidad de Datos de New Hampshire (NHDPA) Entró en vigor el 1 de enero de 2025 e introduce importantes obligaciones de privacidad para las entidades que operan en el estado u ofrecen productos y servicios a sus residentes. La ley se aplica a las organizaciones que, en un plazo de un año, controlan o procesan datos personales de al menos 35,000 consumidores (excluyendo los datos procesados únicamente para transacciones de pago) o que obtienen más de 25% de ingresos brutos por la venta de datos personales de al menos 10,000 consumidores.
El incumplimiento puede resultar en multas de hasta $10,000 por infracción, con un período de subsanación de 60 días disponible hasta 1 de enero de 2026.
Distintiva entre las leyes estatales de privacidad, la NHDPA presenta umbrales de aplicabilidad relativamente bajos, lo que amplía su alcance para las pequeñas empresas. A diferencia de Iowa, exige evaluaciones de impacto en la privacidad para ciertas actividades y, a diferencia de Delaware, ofrece exenciones a nivel de entidad para organizaciones sin fines de lucro y organizaciones reguladas por el gobierno federal. HIPAA o GLBACon su amplio alcance, la NHDPA está destinada a mejorar las prácticas de protección de datos en todo New Hampshire.
7. Nueva Jersey
Ley de Privacidad de Datos de Nueva Jersey (NJDPA) entró en vigor a partir de 15 de enero de 2025 y establece umbrales claros de cumplimiento. Se aplica a las entidades que controlan o procesan anualmente los datos personales de al menos 100.000 consumidores (excluyendo los datos procesados únicamente para transacciones de pago) o a aquellas que manejan los datos de al menos 25.000 consumidores y generan ingresos o reciben descuentos por la venta de datos personales. Las sanciones por incumplimiento alcanzan hasta 10.000 TP por una primera infracción y 20.000 TP por infracciones posteriores, con un plazo de subsanación de 30 días hasta 15 de julio de 2026.
A diferencia de otras leyes estatales, la NJDPA no impone un mínimo de ingresos para su aplicabilidad, lo que la hace relevante más allá de los intermediarios de datos tradicionales y las redes de tecnología publicitaria. Además, las organizaciones sin fines de lucro no están exentas de la ley, aunque se excluyen los datos financieros utilizados exclusivamente para transacciones de pago. Cabe destacar que la NJDPA trata ciertos datos financieros como sensibles y requiere el consentimiento expreso para su procesamiento fuera de las transacciones.
8. Tennessee
Ley de Protección de la Información de Tennessee (TIPA) se hará efectivo 1 de julio de 2025 y establece requisitos de privacidad para las empresas que operan en el estado. La ley se aplica a organizaciones con ingresos anuales superiores a $25 millones que operan en Tennessee o se dirigen a sus residentes y cumplen uno de los siguientes criterios: procesar la información personal de al menos 175,000 consumidores al año o procesar los datos personales de 25,000 consumidores mientras obtienen más de 50% de ingresos brutos por su venta. Las infracciones pueden resultar en multas de hasta $7,500 por cada incidente, con el triple de daños por infracciones intencionales y un período de subsanación de 60 días sin vencimiento.
La TIPA establece un umbral de consumidores notablemente alto (175 000 en comparación con el estándar de 100 000) y se aplica exclusivamente a empresas con ingresos de al menos 1 TP4 T25 millones, lo que limita su alcance. Única entre las leyes estatales de privacidad, la TIPA permite a las empresas establecer una defensa afirmativa mediante la implementación de un programa de privacidad documentado y alineado con la... Marco de privacidad del NIST o normas similares. Si bien no es una medida infalible, esta medida proactiva puede mitigar la responsabilidad de las organizaciones que cumplen con las normas.
Logre el cumplimiento de la privacidad con BigID
Independientemente de la industria que represente su organización, 2025 requerirá que su equipo analice en profundidad las diversas legislaciones de privacidad que ahora pueden afectar sus operaciones diarias. BigID Es la plataforma DSPM líder en la industria para la privacidad, seguridad, cumplimiento normativo y gestión de datos de IA. Obtenga mayor visibilidad de los datos de su empresa y logre un cumplimiento sencillo con leyes integrales de privacidad de datos como MODPA, TIPA, NJDPA y más.
Con BigID las organizaciones pueden:
- Descubra sus datos: Descubra y catalogue sus datos confidenciales, ya sean estructurados, semiestructurados o no estructurados, tanto en entornos locales como en la nube.
- Conozca sus datos: Clasifique, categorice, etiquete y etiqueta datos personales sensibles con precisión, granularidad y escala.
- Mapee sus datos: Asigne automáticamente PII y PI a identidades, entidades y residencias para visualizar datos en todos los sistemas.
- Hacer cumplir las políticas de privacidad: Garantizar la alineación y el cumplimiento de las políticas de datos de acuerdo con los mandatos de privacidad para cumplir con los requisitos de cumplimiento normativo.
- Gestión universal del consentimiento y preferencias: Gestione y ajuste el consentimiento y las preferencias de los consumidores de forma universal y centralizada en varios canales con facilidad.
- Evaluar exhaustivamente los riesgos de privacidad: Iniciar, gestionar, documentar y completar diversas evaluaciones, incluidas PIA, DPIA, proveedor, IA, TIA, LIA y más para cumplimiento y reducción de riesgos.
- Optimice la gestión del ciclo de vida de los datos: Aplique un enfoque basado en políticas para automatizar la gestión del ciclo de vida de los datos en la recopilación, retención y eliminación.
No espere a que los plazos de cumplimiento le alcancen. Adelántese hoy con una demostración individual de los expertos en privacidad de BigID.
Autor
