Inicio ' Termly Actualizaciones y prensa ' 11 nuevas leyes de privacidad de EE...

11 nuevas leyes de privacidad de EE.UU. cubiertas por Termly en 2024

Por: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Actualizado el: 16 de noviembre de 2025

Generar una Política de Privacidad Gratuita
11-New-US-Privacy-Laws-Covered-by-Termly-in-2024-01

Recientemente hemos actualizado nuestro Generador de Política de Privacidad para cubrir 11 leyes más sobre privacidad de datos:

Estas leyes se unen a la siguiente legislación que nuestro generador y plantillas ya cubren:

Nuestro generador incluye ahora cláusulas y detalles para ayudar a las empresas a cumplir 26 leyes de protección de datos en todo el mundo.

Describiré brevemente cada una de las 11 leyes, su fecha de entrada en vigor y a quién se aplican.

Índice
  1. Resumen rápido de Termly's Update: The 11 Laws
  2. Termly Siempre Actualizado
  3. Resumen

Resumen rápido de Termly's Update: The 11 Laws

Hemos actualizado nuestra Generador de Política de Privacidad para dar cabida a las 11 próximas leyes de privacidad de datos a nivel estatal de EE.UU. que se describen a continuación.

Puede añadir estas leyes a su póliza seleccionándolas individualmente en una pestaña desplegable que aparece al responder a las preguntas de nuestro sitio Generador de Política de Privacidad.

Ley de Delaware sobre Protección de Datos Personales (DPDPA)

Fecha de entrada en vigor: 1 de enero de 2025

La DPDPA protege la información personal de las personas en el estado estadounidense de Delaware y exige los siguientes detalles en una política de privacidad conforme:

  • Categorías de datos personales tratados.
  • Finalidad del tratamiento.
  • Cómo pueden los consumidores ejercer sus derechos y recurrir las decisiones del responsable del tratamiento en relación con sus solicitudes.
  • Las categorías de datos personales compartidos con terceros, en su caso.
  • Las categorías de terceros con los que se comparten los datos, en su caso.
  • Una dirección de correo electrónico activa o un mecanismo en línea que los consumidores puedan utilizar para ponerse en contacto con el responsable del tratamiento.
  • Una indicación de si el responsable del tratamiento vende datos personales o los utiliza para publicidad selectiva y de cómo el consumidor puede optar por no participar en estas actividades de tratamiento.
  • Una o varias formas seguras de que los consumidores puedan presentar solicitudes para ejercer sus derechos.
  • Un enlace a su sitio web dentro de su aviso de privacidad que lleve a una página web en la que los consumidores puedan optar por no recibir publicidad dirigida y por la venta de sus datos.

A qué empresas se aplica

Según el artículo 12D-103 de la DPDPA, las empresas deben cumplir esta ley si desarrollan su actividad en el estado o fabrican productos o servicios dirigidos a los residentes y cumplen alguna de las siguientes condiciones durante un año natural:

  • Controlar o procesar la información personal de no menos de 35.000 consumidores (excluyendo la información personal procesada únicamente para completar transacciones de pago) o
  • Controle o trate los datos personales de no menos de 10.000 consumidores y obtenga más del 20% de sus ingresos brutos anuales de la venta de datos personales.

Carta Digital de Derechos de Florida (FDBR)

Fecha de entrada en vigor: 1 de julio de 2024

La FDBR protege los datos personales de los habitantes de Florida y obliga a las empresas a incluir la siguiente información en una política de privacidad:

  • Las categorías de información personal e información personal sensible tratada.
  • Finalidad del tratamiento de los datos.
  • Cómo pueden los consumidores ejercer sus derechos y recurrir las decisiones del responsable del tratamiento basadas en sus solicitudes.
  • Las categorías de datos personales que el responsable del tratamiento comparte con terceros, en su caso.
  • Las categorías de terceros con los que el responsable del tratamiento comparte datos, en su caso.
  • Una descripción de los métodos para que los consumidores puedan presentar solicitudes para ejercer sus derechos.

A qué empresas se aplica

Según la Sección 6. Sección 501.703, el FDBR se aplica a las entidades que hacen negocios en Florida o proporcionan bienes y servicios a los residentes del estado que cumplen con la Sección 5. Sección 501.702 de la definición de un controlador.

Las empresas deben tener ánimo de lucro, superar los 1.000 millones de dólares de ingresos brutos anuales y cumplir una de las siguientes condiciones adicionales:

  • Deriva el 50% o más de sus ingresos de la venta de anuncios en línea o
  • Operar un altavoz inteligente o un servicio de componentes de comandos de voz (pero los conectados a vehículos están exentos) o
  • Gestionar una tienda de aplicaciones o plataforma digital que ofrezca al menos 250.000 aplicaciones de software diferentes.

Ley de Protección de Datos de los Consumidores de Indiana (Indiana CDPA)

Fecha de entrada en vigor: 1 de enero de 2026

La CDPA de Indiana se aplica a los datos personales de los habitantes de Indiana y exige a las empresas que incluyan los siguientes datos en una política de privacidad:

  • Las categorías de datos personales recogidos.
  • La finalidad del tratamiento de los datos personales.
  • Cómo pueden los consumidores ejercer sus derechos y recurrir la decisión del responsable del tratamiento en relación con su solicitud.
  • Las categorías de datos compartidos con terceros, en su caso.
  • Las categorías de terceros con los que se comparten los datos, en su caso.

A qué empresas se aplica

Según el artículo 1 de la ley, las empresas deben cumplir la CDPA de Indiana si desarrollan su actividad en Indiana o fabrican productos o servicios dirigidos a residentes del estado y, durante un año natural, cumplen alguna de las siguientes condiciones:

  • Controla o trata los datos personales de al menos 100.000 residentes en Indiana o
  • Controla o procesa los datos personales de al menos 25.000 residentes de Indiana y obtiene más del 50% de sus ingresos brutos anuales de la venta de datos personales.

Ley de Protección de Datos de los Consumidores de Iowa (Iowa CDPA)

Fecha de entrada en vigor: 1 de enero de 2025

La CDPA de Iowa protege la información personal de los habitantes de Iowa y exige a las empresas que presenten a los usuarios una política de privacidad en la que se explique lo siguiente:

  • Categorías de datos personales tratados.
  • Finalidad del tratamiento de los datos.
  • Una descripción de cómo los consumidores pueden ejercer sus derechos y recurrir una decisión del responsable del tratamiento.
  • Las categorías de datos compartidos con terceros, en su caso.
  • Las categorías de terceros con los que se comparten los datos, en su caso.
  • Información sobre si una empresa vende datos personales a terceros o realiza publicidad selectiva y sobre cómo los usuarios pueden optar por no participar en estas actividades.
  • Establecer y describir los medios seguros y fiables para que los consumidores presenten solicitudes para ejercer sus derechos.

A qué empresas se aplica

Según el texto de la CDPA de Iowa, esta ley se aplica a las entidades que desarrollan su actividad en Iowa o fabrican productos y servicios destinados a los residentes del estado y cumplen alguno de los siguientes umbrales durante un año natural:

  • Controla o trata datos personales de 100.000 o más consumidores o
  • Controla o procesa datos personales de al menos 25.000 consumidores y genera más del 50% de sus ingresos brutos anuales de la venta de datos personales.

Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA)

Fecha de entrada en vigor: 1 de enero de 2026

La KCDPA protege los datos personales de los habitantes de Kentucky y exige a las empresas cubiertas que proporcionen a los usuarios una política de privacidad que explique:

  • Categorías de datos personales tratados.
  • La finalidad del tratamiento.
  • Cómo pueden los consumidores ejercer sus derechos y recurrir la decisión de un responsable del tratamiento en relación con una solicitud.
  • Las categorías de datos personales que el responsable del tratamiento comparte con terceros.
  • Las categorías de los propios terceros.
  • Si el responsable del tratamiento vende datos personales a terceros o procesa datos para publicidad dirigida.
  • Detalles sobre cómo los consumidores pueden ejercer su derecho a excluirse voluntariamente de dicho tratamiento.
  • Una o varias vías seguras y fiables para que los consumidores presenten solicitudes para hacer valer sus derechos.

A qué empresas se aplica

Las empresas deben cumplir la KCDPA si desarrollan su actividad en el estado o dirigen sus productos y servicios a residentes en el mismo y cumplen una de las siguientes condiciones durante un año natural:

  • Trató y controla los datos personales de al menos 100.000 consumidores o
  • Procese y controle los datos personales de al menos 25.000 consumidores y obtenga el 50% de los ingresos brutos anuales de la venta de datos personales.

Ley de Protección de Datos de los Consumidores de Montana (MCDPA)

Fecha de entrada en vigor: 1 de octubre de 2024

La MCDPA se aplica a los datos personales de los habitantes de Montana y obliga a las empresas a presentar a los consumidores un aviso de privacidad que explique lo siguiente:

  • Categorías de datos personales tratados.
  • Finalidad del tratamiento de los datos.
  • Las categorías de datos personales que el responsable del tratamiento comparte con terceros, en su caso.
  • Las categorías de los terceros con los que el responsable del tratamiento comparte los datos, en su caso.
  • Una dirección de correo electrónico u otro mecanismo que los consumidores puedan utilizar para ponerse en contacto con el responsable del tratamiento.
  • Una descripción de cómo los consumidores pueden ejercer sus derechos, incluida la forma de recurrir las decisiones del responsable del tratamiento en relación con sus solicitudes.
  • Dos o más formas en que los consumidores pueden presentar solicitudes para que se actúe sobre sus derechos de privacidad de datos.

A qué empresas se aplica

Según el artículo 3 de la ley, las empresas deben cumplir la MCDPA si desarrollan su actividad en Montana o fabrican productos o servicios dirigidos a residentes del estado y cumplen alguno de los siguientes umbrales:

  • Controla o trata los datos personales de no menos de 50.000 consumidores, excluidos los datos personales controlados o tratados únicamente para completar una operación de pago o
  • Controla o trata los datos personales de no menos de 25.000 consumidores y obtiene más del 25% de sus ingresos brutos anuales de la venta de datos personales.

Ley de privacidad de datos de New Hampshire (SB 255)

Fecha de entrada en vigor: 1 de enero de 2025

La próxima ley de privacidad de datos de New Hampshire protege los datos personales de los residentes del estado y exige a las empresas que presenten a los usuarios una política de privacidad que los explique:

  • Categorías de datos personales tratados.
  • Finalidad del tratamiento de los datos.
  • Cómo pueden los consumidores ejercer sus derechos y recurrir la decisión de un responsable del tratamiento en relación con estas solicitudes.
  • Las categorías de datos compartidos con terceros, en su caso.
  • Las categorías de terceros con los que se comparten los datos, en su caso.
  • Una dirección de correo electrónico activa u otro mecanismo en línea que el consumidor pueda utilizar para ponerse en contacto con el responsable del tratamiento.
  • Si vende datos a terceros o los procesa para publicidad dirigida.
  • Cómo puede el consumidor renunciar a este tipo de tratamiento de datos.

A qué empresas se aplica

Las organizaciones que lleven a cabo negocios en Nuevo Hampshire o que produzcan productos o servicios dirigidos a residentes del estado que cumplan lo siguiente en un año natural deben cumplir la ley:

  • Controla o procesa los datos personales de al menos 35.000 consumidores únicos (excluidos los datos procesados únicamente para completar una transacción de pago) o
  • Controla o procesa los datos personales de no menos de 10.000 consumidores únicos y obtiene más del 25% de sus ingresos brutos anuales de la venta de datos personales.

Ley de Protección de Datos de Nueva Jersey (NJDPA)

Fecha de entrada en vigor: 16 de enero de 2025

La NJDPA se aplica a los datos personales de los habitantes de Nueva Jersey y obliga a las empresas a presentar a los usuarios un aviso de privacidad en el que se explique:

  • Las categorías de información personal identificable recopilada a través del servicio en línea.
  • Las categorías de todos los terceros a los que el operador puede revelar la información.
  • Si el tercero recopila información de identificación personal a lo largo del tiempo en diferentes servicios en línea.
  • Una descripción de cómo las personas pueden revisar o solicitar que se modifique la información recopilada.
  • Cómo notificará el operador a los usuarios los cambios en la política de privacidad y una fecha de entrada en vigor.
  • Uno o varios métodos que los consumidores pueden utilizar para presentar solicitudes verificables de seguimiento de sus derechos de privacidad.

A qué empresas se aplica

Según la versión oficial de la NJDPA, se aplica a las entidades que desarrollan su actividad en Nueva Jersey o fabrican productos y servicios destinados a los residentes del estado y que alcanzan uno de los siguientes umbrales en un año natural:

  • Controla o procesa los datos personales de 100.000 personas, sin incluir los datos procesados únicamente para completar una transacción de pago o
  • Controla o procesa los datos personales de al menos 25.000 personas y obtiene ingresos o recibe un descuento por la venta de la información.

Ley de Privacidad del Consumidor de Oregón (OCPA)

Fecha de entrada en vigor: 1 de julio de 2024

La OCPA protege los datos personales de los habitantes de Oregón y obliga a las empresas a presentar a los usuarios una política de privacidad en la que se les informe de los siguientes detalles:

  • Las categorías de datos personales tratados, incluidos los datos sensibles.
  • La finalidad del tratamiento de la información.
  • Una explicación de cómo los consumidores pueden ejercer sus derechos y recurrir la denegación de dichas solicitudes por parte de un controlador.
  • Una lista de todas las categorías de datos personales compartidos con terceros, incluidos los datos sensibles.
  • Una descripción de las categorías de terceros con los que comparte datos personales.
  • Una dirección de correo electrónico activa o un método en línea que los consumidores puedan utilizar para ponerse en contacto con el responsable del tratamiento.
  • Cualquier nombre comercial que el controlador esté registrado en la Secretaría de Estado y cualquier nombre comercial ficticio que utilice.
  • Una descripción de cualquier tratamiento de datos personales para publicidad dirigida o elaboración de perfiles por el que un consumidor pueda optar.
  • Una descripción de los métodos establecidos por el responsable del tratamiento para que los consumidores presenten solicitudes de seguimiento de sus derechos.

A qué empresas se aplica

Según el artículo 2(1) de la OCPA, las empresas deben cumplir esta ley si desarrollan su actividad en Oregón o suministran productos o servicios a residentes en el estado y cumplen alguna de las siguientes condiciones en un año natural:

  • Controla o procesa datos personales de 100.000 consumidores o más, excluidos los datos controlados o procesados únicamente para completar transacciones de pago o
  • Controla o procesa datos personales de 25.000 consumidores o más y obtiene el 25% o más de sus ingresos brutos anuales de la venta de datos personales.

Ley de Protección de la Información de Tennessee (TIPA)

Fecha de entrada en vigor: 1 de julio de 2025

La TIPA protege la información personal de los habitantes de Tennessee y exige a las empresas que presenten a los usuarios una política de privacidad que explique:

  • Qué categorías de información personal trata el responsable del tratamiento.
  • La finalidad del tratamiento de los datos personales.
  • Cómo pueden ejercer sus derechos, incluido cómo recurrir una decisión del responsable del tratamiento en relación con una solicitud.
  • Las categorías de información personal que el responsable del tratamiento comparte con terceros, en su caso.
  • Las categorías de terceros con los que el responsable del tratamiento comparte la información personal, en su caso.

A qué empresas se aplica

Según la Sección 2, Parte 47-18-3202. Ámbito de aplicación de la TIPA, se aplica a las entidades que hacen negocios en Tennessee o fabrican productos o servicios dirigidos a residentes del estado, obtienen más de 25 millones de dólares de ingresos anuales y, o bien:

  • Controla o procesa la información personal de al menos 25.000 consumidores de Tennessee y obtiene el 50% de los ingresos brutos anuales de la venta de dicha información o
  • Procese o controle la información personal de al menos 175.000 consumidores de Tennessee durante un año natural.

Ley de Privacidad y Seguridad de Datos de Texas (TDPSA)

Fecha de entrada en vigor: 1 de julio de 2024

La TDPSA se aplica a los datos personales de los habitantes de Texas y obliga a las empresas a proporcionar a los usuarios un aviso de privacidad en el que se explique la siguiente información:

  • Las categorías de datos personales tratados, incluidos los datos sensibles.
  • Finalidad del tratamiento de los datos.
  • Cómo pueden los consumidores ejercer sus derechos y el proceso para recurrir la decisión.
  • Las categorías de datos compartidos con terceros, en su caso.
  • Las categorías de terceros con los que se comparten los datos, en su caso.
  • Una descripción de cómo los consumidores pueden presentar solicitudes para ejercer sus derechos.

A qué empresas se aplica

Según el artículo 541.002 de la TDPSA, las empresas deben cumplir esta ley si alcanzan los siguientes umbrales:

  • Realiza negocios en Texas o produce bienes o servicios consumidos por residentes del estado y
  • procesa o vende datos personales y
  • No es una pequeña empresa según la definición de la Administración de Pequeñas Empresas de Estados Unidos(SBA) -es decir, empresas con menos de 500 empleados- a menos que la empresa se dedique a la venta de datos personales sensibles.

Termly Siempre Actualizado

Nuestra misión es ayudar a las pequeñas y medianas empresas a simplificar el cumplimiento de la legislación sobre privacidad de datos, y nos dedicamos a mantenernos al día sobre los nuevos actos legislativos, los que están por venir y los que evolucionan.

Nuestro equipo jurídico, los ingenieros de producto y los expertos en privacidad colaboran para actualizar nuestros generadores de políticas según sea necesario para garantizar que ofrecemos a nuestros usuarios los productos que necesitan.

Informamos a nuestros usuarios sobre estas actualizaciones mediante el envío de correos electrónicos informativos, la creación de comunicados de prensa y la publicación de artículos de apoyo.

Prometemos seguir mejorando nuestra oferta incorporando otros actos legislativos a medida que entren en vigor.

Resumen

Nuestro sitio Generador de Política de Privacidad puede ayudar ahora a las empresas a cumplir los requisitos de 26 leyes diferentes sobre protección de datos.

Se espera que esta cifra siga creciendo a medida que se promulguen nuevas leyes de privacidad en todo el mundo.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Más sobre el autor

Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido Responsable de Protección de Datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implementar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, PIPEDA, Directiva ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
privacy-policy-template-preview-from-generator-with-check

Generar una Política de Privacidad GRATUITA

Responda a unas sencillas preguntas y en cuestión de MINUTOS tendrá su política totalmente generada.
Generar una Política de Privacidad Gratuita

Artículos Relacionados

  1. Política de privacidad para anuncios de Facebook-01
    Política de privacidad para anuncios de Facebook: cómo crear una
    Artículos

    19 de diciembre de 2025
    Natasha Piirainen
  2. Política de privacidad para React 01
    Política de privacidad para React: cómo crear una
    Artículos

    19 de diciembre de 2025
    Natasha Piirainen
  3. Política de privacidad para Next.js 01
    Política de privacidad para Next.js: cómo crear una
    Artículos

    18 de diciembre de 2025
    Natasha Piirainen
  4. 9-Tipos-de-datos-más-comúnmente-recogidos-01
    Los 9 tipos de datos más recopilados y lo que debes saber sobre ellos
    Artículos

    16 de diciembre de 2025
    Natasha Piirainen
  5. Las 7 violaciones más comunes de la privacidad de los datos-01
    Las 7 infracciones más comunes en materia de privacidad de datos y cómo evitarlas
    Artículos

    15 de diciembre de 2025
    Natasha Piirainen
  6. Política de privacidad para TikTok Shop 01
    Política de privacidad para TikTok Shop: cómo crear una
    Artículos

    15 de diciembre de 2025
    Hanna De La Garza
  7. Los 10 conceptos erróneos másrgpd sobre el RGPD-01
    Los 10 rgpd más comunes sobre rgpd y la verdad que se esconde tras ellos
    Artículos

    10 de diciembre de 2025
    Natasha Piirainen
  8. Respuestas positivas frente a negativas al DSAR-01
    Respuestas adecuadas e inadecuadas a las solicitudes de acceso a datos personales: cómo se reconocen
    Artículos

    9 de diciembre de 2025
    Hanna De La Garza
  9. Política de privacidad para una empresa SaaS 01
    Política de privacidad para una empresa SaaS: cómo crear una
    Artículos

    4 de diciembre de 2025
    Hanna De La Garza

Explore más recursos