Carta de Derechos Digitales de Florida: Primer vistazo y resumen

¿Se ha enterado de la noticia? Florida acaba de aprobar la Carta de Derechos Digitales de Florida (FDBR).

La FDBR es un texto legislativo interesante que utiliza definiciones únicas en comparación con otras leyes estatales de Estados Unidos que cubren la privacidad de los datos.

A continuación resumo la nueva ley de privacidad de datos de Florida, incluyendo a quién se aplica, sus términos y definiciones clave, y qué deben hacer los controladores de datos para su cumplimiento.

¿Qué es la Carta Digital de Derechos de Florida (FDBR)?

La Declaración de Derechos Digitales de Florida es una ley que explica qué derechos tienen los residentes de Florida sobre el tratamiento y uso de sus datos personales por distintas entidades.

En segundo lugar, describe las directrices para los empleados públicos en relación con los servicios de medios sociales y las obligaciones para los controladores que operan motores de búsqueda.

En tercer lugar, esboza normas específicas para proteger los datos relativos a menores de 18 años en espacios en línea.

Por último, describe las sanciones por infringir partes de la nueva ley de privacidad de datos de Florida.

Fecha de entrada en vigor del FDBR

La Carta de Derechos Digitales de Florida entró en vigor el 1 de julio de 2024.

Las disposiciones relativas a los empleados de la Administración y las plataformas de medios sociales entraron en vigor en julio de 2023, como se indica en la sección 1, artículo 112.23.

Términos clave y definiciones de la FDBR

La Carta de Derechos Digitales de Florida utiliza varias definiciones únicas para términos que hemos visto en otras leyes de protección de datos de EE.UU. y comprender las diferencias es vital a efectos de cumplimiento.

Como ayuda, he incluido a continuación los términos clave con las definiciones tal y como aparecen en los FDBR:

¿Qué cubre la Carta de Derechos Digitales de Florida?

El FDBR abarca tres cuestiones distintas relacionadas con la privacidad que afectan a los residentes de Florida y al propio Estado:

1. Una sección describe los derechos que tienen los consumidores que actúan en un contexto personal o doméstico sobre la forma en que sus datos personales son recogidos, tratados y utilizados por los responsables del tratamiento.
2. Otra sección prohíbe a los empleados públicos utilizar su cargo o los recursos del Estado para eliminar contenidos o cuentas en plataformas de medios sociales.
3. La tercera sección explica y establece protecciones relativas a la información personal de los niños en línea.

Curiosamente, la Ley de protección de datos personales utiliza diferentes definiciones para los datos personales y la información personal (ambas aparecen en la sección de términos clave anterior) aplicables a las diferentes secciones de la ley:

• Los datos personales se refieren a la información recopilada, procesada y utilizada por los responsables del tratamiento sobre los residentes en Florida.
• La información personal se refiere a las directrices de seguridad en los espacios en línea relativas a los menores de 18 años.

Requisitos de la Declaración de Derechos Digitales de Florida

Como declaración de derechos sobre la privacidad de los datos, la ley de Florida tiene muchos requisitos, algunos de los cuales se aplican directamente a las empresas que recogen y utilizan datos personales de los consumidores de Florida.

Para ayudarle a comprender mejor las partes pertinentes de los FDBR, he esbozado las directrices en la siguiente sección.

Requisitos del responsable del tratamiento de datos personales

Según la Sección 13. 501.71 de la ley, los responsables del tratamiento deben limitar el tratamiento de datos personales a lo que sea "adecuado, pertinente y razonablemente necesario" en función de los fines que presenten a los consumidores.

Los responsables del tratamiento también deben mantener medidas técnicas y físicas para proteger la integridad y confidencialidad de la información.

Para tratar datos más allá de lo necesario o cualquier información personal sensible, necesita el consentimiento del consumidor.

Además, si tiene previsto vender datos biométricos o datos personales sensibles, debe proporcionar una declaración visible en su sitio web utilizando la siguiente redacción, tal y como se describe en la Sección 14. Sección 501.711 Parte (2):

• AVISO: Este sitio web puede vender sus datos personales sensibles
• AVISO: Este sitio web puede vender sus datos biométricos personales

Evaluaciones de protección de datos

Los responsables del tratamiento deben realizar y documentar Evaluaciones de Protección de Datos (APD) para realizar determinadas actividades de tratamiento de datos, tal como se describe en la Sección 16. Sección 501.713 de las FDBR.

Está obligado a realizar un DPA para procesar información con los siguientes fines:

• Publicidad dirigida
• Venta de datos personales
• Tratamiento de datos con fines de elaboración de perfiles si presenta un riesgo razonablemente previsible para el consumidor.
• Tratamiento de datos sensibles
• Actividades de tratamiento de datos personales que presentan un riesgo elevado de perjuicio para el consumidor

La evaluación de la protección de datos por parte del responsable del tratamiento debe hacer todo lo siguiente:

• Identificar y sopesar los beneficios directos e indirectos para el responsable del tratamiento, el consumidor y otras partes interesadas frente a los riesgos potenciales para los derechos de los consumidores, atenuados por las salvaguardias.
• Tenga en cuenta el uso de datos no identificados, las expectativas razonables del consumidor, el contexto del tratamiento y la relación entre el responsable del tratamiento y el consumidor.

Puede utilizar una única evaluación para abordar un conjunto comparable de operaciones o actividades si el riesgo asumido para el consumidor tiene un alcance similar.

Los responsables del tratamiento también pueden utilizar una evaluación realizada para cumplir otra ley o reglamento comparable a las directrices escritas en el FDBR.

Obligaciones contractuales relativas a terceros encargados del tratamiento

Las FDBR describen los requisitos contractuales entre responsables y encargados del tratamiento en la Sección 15. Sección 501.712 Parte (2).

En concreto, establece que debe existir un contrato entre los responsables y los encargados del tratamiento en el que se especifique todo lo siguiente:

Un transformador puede contratar a un asesor independiente cualificado para que evalúe sus políticas y medidas técnicas u organizativas en apoyo de estos requisitos.

El encargado del tratamiento deberá poner el informe a disposición del responsable del tratamiento a petición de éste.

Directrices sobre datos de menores

Los servicios en línea que ofrecen juegos, productos, servicios o funciones a los que es probable que accedan principalmente niños deben seguir directrices específicas en virtud de las FDBR.

En concreto, como se explica en la Sección 501.1735, estas plataformas no podrán:

• Tratar la información personal de cualquier niño si la plataforma tiene conocimiento real (o ignora intencionadamente) de que el tratamiento puede provocar un daño sustancial o un riesgo para la privacidad del niño.
• Elaborar perfiles de menores a menos que la plataforma en línea demuestre que cuenta con las salvaguardias adecuadas y que la elaboración de perfiles es necesaria para prestar el servicio.

Sin embargo, las plataformas que puedan probar o demostrar una razón de peso por la que la elaboración de perfiles no plantea ningún riesgo sustancial de daño o riesgo para la privacidad pueden seguir adelante con este tipo de tratamiento.

Además, las entidades no pueden:

• Recopilar, vender, compartir o conservar datos personales innecesarios para prestar un servicio en línea, a menos que demuestren que no supone un perjuicio sustancial o un riesgo para la privacidad del menor.
• Utilizar la información personal por cualquier motivo distinto del motivo original por el que se recopiló, a menos que demuestren que no supone un daño sustancial o un riesgo para la privacidad del menor.
• Recopilar, vender o compartir datos precisos de geolocalización del niño, a menos que sea estrictamente necesario para el funcionamiento del servicio.
• Recopilar cualquier dato preciso de geolocalización sobre el niño sin proporcionar una señal obvia de que se están recopilando los datos.
• Utiliza patrones oscuros para despistar al niño en una dirección que de otro modo no tomaría.
• Utilizar la información personal para estimar la edad o el intervalo de edad con cualquier otro fin o conservar esos datos más tiempo del necesario.

Restricciones a los empleados públicos en las redes sociales

En virtud de la Sección 1. Sección 112.23 Parte (2) y (3) de la Declaración de Derechos Digitales de Florida, las entidades gubernamentales, funcionarios o empleados asalariados no pueden comunicarse con las plataformas de medios sociales en relación con preocupaciones específicas.

En concreto, las entidades gubernamentales no pueden solicitar la eliminación de contenidos o cuentas ni iniciar acuerdos con fines de moderación de contenidos.

Tampoco pueden iniciar o mantener relaciones de trabajo con una plataforma de medios sociales para la moderación de contenidos.

Sin embargo, estas secciones no se aplican cuando la entidad gubernamental o el funcionario actúan en alguno de los siguientes casos:

• Gestión rutinaria de la cuenta de la entidad gubernamental, incluida la eliminación o revisión de su contenido o cuenta.
• Eliminación de contenidos relativos a la comisión de un delito o a la violación del derecho público de Florida.
• Eliminar una cuenta relacionada con la comisión de un delito o la violación del derecho público de Florida.
• Investigaciones relacionadas con los esfuerzos para prevenir daños corporales, pérdida de vidas o daños materiales.

Disposiciones para los controladores propietarios de motores de búsqueda

Las FDBR esbozan las directrices que deben seguir los controladores que operan motores de búsqueda en la Sección 13. Sección 501.71 Parte (4).

Dichos controladores deben poner a disposición una descripción actualizada de los parámetros más significativos utilizados para determinar la clasificación en los motores de búsqueda y su importancia relativa.

Debe incluir detalles sobre la "priorización o despriorización del partidismo político o la ideología política en los resultados de búsqueda".

La descripción debe estar disponible en un lugar de fácil acceso sin que sea necesario iniciar sesión ni registrarse como usuario.

Sin embargo, estos controladores no están obligados a revelar algoritmos o cualquier otra información que pueda permitir engañar o perjudicar a los consumidores mediante la manipulación de los resultados de búsqueda.

La Ley de Privacidad de Datos de Florida frente a otros Estados: Similitudes y diferencias

El FDBR esboza los derechos de los consumidores y algunas obligaciones de privacidad que reflejan otras leyes de privacidad de EE.UU., pero es muy diferente en alcance y escala de la otra legislación que existe, como la:

• Ley de Protección del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA) - actualmente en vigor
• Ley de Privacidad de Colorado (CPA) - actualmente en vigor
• Ley de Privacidad de Datos de Connecticut (CTDPA) - actualmente en vigor
• Ley de Privacidad de Datos Personales de Delaware (DPDPA) - actualmente en vigor
• Ley de Protección de Datos de los Consumidores de Indiana (Indiana CDPA) - en vigor desde el 1 de enero de 2026
• Ley de Protección de Datos de los Consumidores de Iowa (Iowa CDPA) - actualmente en vigor
• Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA) - en vigor desde el 1 de enero de 2026
• Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA) - en vigor desde el 31 de julio de 2025
• Ley de Privacidad de Datos en Línea de Maryland (MODPA) - en vigor desde el 1 de octubre de 2025
• Ley de Protección de Datos de los Consumidores de Montana (MCDPA) - actualmente en vigor
• Ley de Protección de Datos de Nebraska (NDPA) - actualmente en vigor
• Ley de Privacidad de Datos de New Hampshire (NHDPL) - actualmente en vigor
• Ley de Privacidad de Datos de Nueva Jersey (NJDPA) - en vigor desde el 15 de enero de 2025
• Ley de Privacidad del Consumidor de Oregón (OCPA) - actualmente en vigor
• Ley de Protección de la Información de Tennessee (TIPA) - en vigor desde el 1 de julio de 2025
• Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) - actualmente en vigor
• Ley de Privacidad del Consumidor de Utah (UCPA) - actualmente en vigor
• Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) - actualmente en vigor

Las principales diferencias del FDBR incluyen su alcance muy limitado, que se dirige a entidades de nivel empresarial más grandes que controlan navegadores y/o motores de búsqueda.

No se aplica a las pequeñas y medianas empresas, los intermediarios de datos y otras entidades en línea que suelen recoger, procesar y utilizar datos personales de los consumidores.

Sin embargo, puede comparar aspectos de la ley con estas otras leyes estatales en la tabla siguiente.

¿Cómo afectará el Reglamento a los consumidores?

El Reglamento afecta a los consumidores al otorgarles derechos y control sobre la forma en que los responsables del tratamiento de datos recopilan, procesan y utilizan su información personal.

En concreto, el artículo 8. La sección 501.705 describe la mayoría de los derechos del consumidor, entre los que se incluyen los siguientes:

• Confirmar si un responsable del tratamiento está tratando sus datos personales y tener acceso a ellos
• Corregir inexactitudes en sus datos personales
• Suprimir la totalidad o parte de los datos personales facilitados por el consumidor u obtenidos sobre él.
• Obtener una copia de sus datos en formato portátil y, si está disponible, en formato digital.
• Exclusión voluntaria de la publicidad dirigida
• Optar por no vender sus datos personales
• Exclusión voluntaria de la elaboración de perfiles
• Exclusión voluntaria de la recogida de datos personales sensibles, incluida la geolocalización precisa y el tratamiento de datos sensibles.
• Exclusión voluntaria de la recopilación de datos personales a través de una función de reconocimiento facial o de voz

Además, los dispositivos que tengan alguna de las siguientes funciones que recopilan datos no podrán utilizarse para la vigilancia cuando el consumidor no active las funciones sin autorización:

• Reconocimiento de voz
• Reconocimiento facial
• Grabación de vídeo
• Grabación de audio
• Cualquier otro dispositivo electrónico
• Cualquier otra característica visual
• Características térmicas
• Características olfativas

¿A quién se aplica el FDBR?

El FDBR sólo cubre los datos personales de los residentes de Florida que actúen como individuos o en nombre de un hogar de acuerdo con la Sección 5. Sección 501.702 de la ley.

Excluye a cualquier persona en el Estado que actúe con fines laborales o comerciales.

¿Cómo afectará el Reglamento a las empresas?

El Reglamento afecta a las empresas de varias maneras, más allá de las obligaciones contractuales, las evaluaciones de impacto de la protección de datos y las obligaciones de los motores de búsqueda mencionadas anteriormente.

También afecta a sus políticas de privacidad y de cookies, de las que hablo en detalle en la siguiente sección.

¿Cómo afectará el FDBR a mi política de privacidad?

Las entidades que reúnan los requisitos para ser consideradas responsables del tratamiento deberán planificar la actualización de su política de privacidad para cumplir los requisitos descritos en la Declaración de Derechos Digitales de Florida.

Según la Sección 14. 501.711, los responsables del tratamiento que reúnan los requisitos deben presentar a los consumidores un aviso de privacidad "razonablemente accesible" y "claro" que resuma todo lo siguiente:

• Las categorías de datos personales y datos personales sensibles tratados por el responsable del tratamiento
• Finalidad del tratamiento de los datos
• Cómo pueden ejercer los consumidores los derechos que les confiere el Reglamento sobre derechos de propiedad intelectual, incluido cómo pueden recurrir las decisiones de un responsable del tratamiento basadas en sus solicitudes.
• Las categorías de datos personales que el responsable del tratamiento comparte con terceros, en su caso
• Las categorías de terceros con los que el responsable del tratamiento comparte datos, en su caso
• Una descripción de los métodos (como se especifica en la Sección 501.709 del FDBR) de cómo los consumidores pueden presentar solicitudes para ejercer sus derechos en virtud de la ley.

¿Cómo afectará el FDBR a mi política de cookies?

El FDBR puede afectar a las políticas de cookies de los responsables del tratamiento de datos que cumplan los requisitos, especialmente si utiliza cookies de Internet para publicidad dirigida o vende la información derivada de las cookies.

Como se explica en la Sección 8. Sección 501.705 de la ley, los floridanos tienen derecho a optar por no participar en la venta de sus datos personales y anuncios dirigidos.

Por lo tanto, debe actualizar su política de cookies para describir si utiliza cookies para estos fines y cómo los consumidores pueden ejercer su derecho de exclusión.

¿Quién debe cumplir la nueva Ley de Protección de Datos de Florida?

La Carta de Derechos Digitales de Florida no es como las demás leyes estatales de Estados Unidos, ya que parece dirigirse más a las entidades de nivel empresarial que a los intermediarios de datos y a las pequeñas y medianas empresas.

Según la Sección 6. Sección 501.703, se aplica a las entidades que hacen negocios en Florida o proporcionan bienes y servicios a los residentes del estado que también cumplen con la Sección 5. Sección 501.702 de la definición de controlador (que aparece en la sección de términos clave y definiciones anterior).

Debe tener ánimo de lucro, superar los mil millones de dólares de ingresos brutos anuales y cumplir una de las siguientes condiciones adicionales:

• Obtenga el 50% o más de sus ingresos de la venta de anuncios en línea.
• Utilizar un altavoz inteligente o un servicio de componentes de comandos de voz (pero están exentos los conectados a vehículos).
• Gestionar una tienda de aplicaciones o plataforma digital que ofrezca al menos 250.000 aplicaciones de software diferentes.

Además, la sección 5, artículo 501.702, establece que cualquier persona controlada o que controle a un controlador también entra en la definición.

Por control, la ley entiende específicamente:

• Poseer más del 50% de las acciones en circulación de cualquier clase con derecho a voto.
• Tener el control sobre la elección de la mayoría de los directores
• Tener poder para ejercer influencia sobre la gestión de la empresa.

Sólo está sujeto al cumplimiento de los FDBR si su empresa cumple estos requisitos.

¿Quién está exento del FDBR?

Según la Sección 6. Sección 501.703 Parte (2), las siguientes entidades están exentas y no necesitan seguir los FDBR:

• Agencias estatales o subdivisiones políticas del Estado
• Entidades financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
• Entidad cubierta o asociado comercial regido por las notificaciones de privacidad, seguridad e infracción emitidas por el Departamento de Salud y Servicios Humanos de los Estados Unidos, la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica.
• Organizaciones sin ánimo de lucro
• Instituciones de enseñanza postsecundaria
• Tratamiento de datos personales para una actividad puramente personal o doméstica
• Tratamiento de datos personales únicamente para medir o informar sobre el rendimiento, el alcance o la frecuencia de la publicidad

¿Cómo pueden prepararse las empresas para el FDBR?

Las entidades que cumplen los requisitos para ser responsables del tratamiento de datos con arreglo a la Ley de protección de datos deben planificar la adopción de algunas medidas cruciales para prepararse para la aplicación de esta ley:

• Actualice su política de privacidad para incluir todos los detalles especificados, incluida la descripción de los derechos del consumidor.
• Si vende datos biométricos o sensibles, incluya el aviso correspondiente en su sitio web.
• Asegúrese de que cualquier contrato que suscriba con terceros encargados del tratamiento sigue las directrices expresadas en los FDBR.
• Si realiza actividades de tratamiento que suponen un alto riesgo para los consumidores, ejecute y documente las evaluaciones de privacidad de datos adecuadas.
• Si su empresa gestiona un motor de búsqueda, incluya en su sitio web una información visible sobre los parámetros de clasificación de sus enlaces.
• Para las entidades que crean servicios utilizados principalmente por niños, debe seguir todas las obligaciones expresadas por la ley.

¿Cómo se aplicarán los derechos de obtentor?

El Fiscal General tiene la autoridad exclusiva para hacer cumplir las infracciones de la Declaración de Derechos Digitales de Florida y puede emprender acciones contra cualquier persona que considere que infringe la ley por actos o prácticas desleales o engañosos.

Multas y sanciones en virtud de la Carta de Derechos Digitales de Florida

El Fiscal General de Florida puede aplicar sanciones civiles de hasta 50.000 $ por infracciones de la FDBR, como se explica en la Sección 23. Sección 501.72 Parte (1) de la ley.

Sin embargo, los consumidores de Florida no tienen derecho a emprender acciones legales en virtud de esta ley.

¿Cómo ayudará Termly al cumplimiento del FDBR?

Termly ayuda a las empresas a cumplir leyes como la Declaración de Derechos Digitales de Florida proporcionando generadores de políticas y una plataforma gestión del consentimiento (CMP) respaldada por nuestro equipo jurídico y expertos en privacidad de datos.

Nuestro sitio Generador de política de privacidad sigue la FDBR y otras leyes estadounidenses, y la actualizamos periódicamente para estar al día de la nueva y cambiante legislación de todo el mundo.

Utilizarlo no puede ser más sencillo: le hace preguntas fundamentales sobre su empresa y sus actividades de tratamiento de datos personales, y luego elabora una política de privacidad única basada en sus respuestas.

A continuación se muestra una captura de pantalla de una de las preguntas que formula.

También ofrecemos un CMP con un banner consentimiento de cookies que puede configurar para cumplir los requisitos de exclusión voluntaria descritos por leyes como la FDBR.

Vea un ejemplo a continuación.

Empezar a gestionar el consentimiento

Introduzca la URL de su sitio web

Para ayudarle a crear un sitio política de cookies que cumpla la legislación mundial, primero debemos escanear su sitio web en busca de cookies.

Iniciar Escaneo del Sitio Web

Resumen

La Carta de Derechos Digitales de Florida es una ley de privacidad estatal única en Estados Unidos que ya está en vigor.

Si cumple los requisitos para ser controlador con arreglo al FDBR, debería hacerlo:

• Actualice su política de privacidad para cumplir todos los requisitos establecidos por el FDBR.
• Asegúrese de que su política de cookies está actualizado y es preciso.
• Utilizar contratos conformes con las directrices del FDBR con los terceros encargados del tratamiento.
• Realizar evaluaciones de tratamiento de datos antes de procesar cualquier información que pueda suponer un mayor riesgo para los consumidores.
• Añada formularios de solicitud de acceso a los datos por parte del sujeto a su sitio web para que los usuarios puedan ejercer fácilmente sus derechos de privacidad.
• Asegúrese de seguir todas las directrices relativas a los datos de menores, especialmente si son menores de 18 años los que utilizan principalmente sus servicios.
• Si es propietario de un motor de búsqueda, siga los nuevos requisitos de divulgación de la ley.
• Las entidades gubernamentales afectadas por esta ley deben cumplir todas las nuevas obligaciones relativas a las plataformas y solicitudes de medios sociales.

¿Por qué no facilitarle las cosas a su empresa? Utilice nuestro Generador de política de privacidad o CMP y adelántese hoy mismo en su proceso de cumplimiento de la normativa sobre privacidad.

Más sobre el autor

Escrito por Josh Langeland, CIPM

Hola, soy Josh. Soy un ingeniero de privacidad apasionado por el uso de la tecnología para respetar la privacidad de los usuarios. Prospero en la intersección de la tecnología compleja y la legislación sobre privacidad en constante cambio. Si no estoy redactando una revisión de diseño o rediseñando un sistema, puede que me encuentres leyendo una biografía o haciendo senderismo en el parque nacional más cercano. Más sobre el autor