La Ley de Privacidad de Datos de New Hampshire es similar a otras leyes estatales estadounidenses aprobadas recientemente y otorga a los residentes varios derechos sobre cómo se recopilan y utilizan sus datos.
También describe los requisitos legales que deben cumplir las empresas para procesar información personal.
A continuación, resumo la Ley de Privacidad de Datos de New Hampshire, incluyendo a quién se aplica, qué exige a las empresas, cómo afecta a los consumidores y las penas por infringirla.
- ¿Qué es la Ley de Protección de Datos de New Hampshire?
- Términos clave y definiciones de la Ley de Protección de Datos de New Hampshire
- ¿Qué cubre la Ley de Protección de Datos de New Hampshire?
- Requisitos de la Ley de Protección de Datos de New Hampshire
- La ley de privacidad de datos de New Hampshire frente a otros estados: Similitudes y diferencias
- ¿Cómo afectará la Ley de Protección de Datos de New Hampshire a los consumidores?
- ¿A quién se aplica la Ley de Protección de Datos de New Hampshire?
- ¿Cómo afectará a las empresas la Ley de Protección de Datos de New Hampshire?
- ¿Quién debe cumplir la nueva Ley de Protección de Datos de New Hampshire?
- ¿Cómo pueden prepararse las empresas para la Ley de Protección de Datos de New Hampshire?
- ¿Cómo se aplicará la Ley de Protección de Datos de New Hampshire?
- Multas y sanciones según la Ley de Protección de Datos de New Hampshire
- Cómo ayuda Termly a cumplir la Ley de Protección de Datos de New Hampshire
- ¿Existen otras leyes relacionadas con la privacidad en New Hampshire?
- Resumen
¿Qué es la Ley de Protección de Datos de New Hampshire?
La Ley de Privacidad de Datos de New Hampshire, o Proyecto de Ley del Senado nº 255, es la primera ley integral de privacidad del consumidor del estado.
Describe las directrices para recopilar, procesar y compartir datos personales de residentes del estado estadounidense de New Hampshire.
La ley también otorga a las personas diferentes derechos y controles sobre su información y describe las sanciones por infringir partes de la ley.
Fecha de entrada en vigor de la Ley de Protección de Datos de New Hampshire
La ley de privacidad de datos de New Hampshire entró en vigor el 1 de enero de 2025.
Términos clave y definiciones de la Ley de Protección de Datos de New Hampshire
Para ayudarle a entender cómo cumplir con la Ley de Privacidad de Datos de New Hampshire, a continuación encontrará algunos términos y definiciones clave tal y como aparecen en el texto legal oficial.
¿Qué cubre la Ley de Protección de Datos de New Hampshire?
La Ley de Privacidad de Datos de New Hampshire cubre la información personal de los residentes del estado, pero excluye los datos disponibles públicamente.
Otorga a los residentes derechos y control sobre el modo en que las entidades externas que cumplen determinados umbrales legales pueden recopilar, procesar y utilizar su información.
La ley exige a las empresas que protejan adecuadamente los datos frente a accesos no autorizados y que permitan a los ciudadanos de New Hampshire optar por no recibir publicidad dirigida y por no vender la información.
Requisitos de la Ley de Protección de Datos de New Hampshire
Para ayudar a las empresas a prepararse para la ley, vamos a repasar los principales requisitos que establece la Ley de Privacidad de Datos de New Hampshire.
Necesita una base jurídica para el tratamiento de datos personales
Según la Ley de Privacidad de Datos de New Hampshire, las empresas que cumplen los requisitos para ser responsables del tratamiento deben limitar la recopilación de datos únicamente a lo que sea:
"... adecuados, pertinentes y razonablemente necesarios en relación con los fines para los que se tratan dichos datos, comunicados al consumidor" .
Si su empresa entra en el ámbito de aplicación de esta ley, sólo puede recopilar información de los usuarios tal como se presenta en su política de privacidad.
Para tratar datos que quedan fuera de este ámbito, la entidad debe obtener el consentimiento adecuado del usuario.
También es necesario el consentimiento para recoger y tratar categorías de información personal sensible.
Cómo obtener correctamente el consentimiento
Para que el consentimiento se obtenga legalmente según la ley de privacidad de New Hampshire, debe ser:
- Libremente concedido
- Específico
- Informado
- Sin ambigüedades
En otras palabras, el usuario debe saber a qué está accediendo y realizar una acción que denote que está de acuerdo con el tratamiento de datos.
El consentimiento no puede incluir pasar el ratón por encima de un banner de consentimiento, silenciar, pausar o cerrar un contenido, y los patrones de diseño engañosos, como los "patrones oscuros" , no se consideran consentimiento.
Debe responder a las solicitudes de consumidores autentificados
Las empresas que cumplen los requisitos para ser responsables del tratamiento según la ley de privacidad de datos de New Hampshire deben responder a las solicitudes autenticadas de los consumidores para hacer valer sus derechos en un plazo de 45 días.
Cuando sea razonablemente necesario, puede aplicarse una única prórroga de 45 días, en función de la complejidad de la solicitud y del número total de solicitudes que reciba una empresa.
Corresponde al responsable del tratamiento de datos establecer, aplicar y mantener dos o más vías para que los consumidores presenten estas solicitudes, incluida la adición de un formulario de Solicitud de Acceso del Sujeto de Datos (DSAR) en su sitio web.
Sin embargo, el método no puede exigir a los usuarios que inicien sesión o creen una nueva cuenta para enviar solicitudes.
Debe respetar los mecanismos universales de exclusión voluntaria (UOOM)
Según la nueva ley de privacidad de New Hampshire, las entidades cubiertas deben permitir a los consumidores excluirse de la publicidad dirigida y de la venta de sus datos mediante un mecanismo de exclusión universal (UOOM, por sus siglas en inglés) antes del 1 de enero de 2025.
Los UOOM, como Global Privacy Control (GPC), son ajustes o extensiones del navegador que las personas pueden configurar para rechazar automáticamente el tratamiento de datos sin hacer clic en un banner emergente de consentimiento.
Según el texto de la ley, la tecnología o el mecanismo deben:
- No perjudicar injustamente a otro controlador.
- No utilizar una configuración por defecto, sino exigir al usuario que opte por la exclusión activa.
- Ser fácil de usar para el consumidor medio.
- Ser coherente con otras plataformas o tecnologías similares exigidas por otras leyes estatales o federales.
- Permitir al controlador determinar con precisión si el consumidor es residente en el Estado y si la solicitud es legítima.
Debe realizar evaluaciones de protección de datos
Los responsables del tratamiento deben llevar a cabo evaluaciones de protección de datos para recoger y tratar datos personales que puedan presentar un riesgo elevado de perjuicio para los consumidores, lo que incluye:
- Tratamiento de datos personales para publicidad dirigida
- Venta de datos personales
- Tratamiento de datos con fines de elaboración de perfiles que presente un riesgo razonablemente previsible de trato injusto o engañoso o un impacto ilícito en los consumidores.
- Tratamiento de datos personales sensibles
Según la ley, estas evaluaciones deben aplicarse a las actividades de tratamiento iniciadas a partir del 1 de julio de 2024.
La evaluación debe identificar y sopesar los beneficios que pueden repercutir directa o indirectamente en el consumidor frente a los riesgos potenciales, teniendo en cuenta el uso de datos desidentificados y las expectativas razonables de los consumidores.
Una única evaluación de la protección de datos puede abordar un conjunto comparable de actividades de tratamiento siempre que sean de naturaleza similar.
Debe firmar contratos con los procesadores de datos
Para que los responsables del tratamiento trabajen con procesadores de datos, la Ley de Privacidad de Datos de New Hampshire exige que ambas entidades firmen contratos que establezcan las siguientes obligaciones:
- Establecer las instrucciones para el tratamiento de los datos, la naturaleza y la finalidad del tratamiento, el tipo de datos objeto del tratamiento, la duración del tratamiento y los derechos y obligaciones de ambas partes.
- Exigir al encargado del tratamiento que garantice que toda persona que participe en el tratamiento de datos esté sujeta al deber de confidencialidad.
- Exigir al encargado del tratamiento que suprima o devuelva todos los datos personales por orden del responsable del tratamiento, a menos que la ley exija su conservación.
- Exigir al procesador que ponga todos los datos a disposición del controlador, a su discreción, para demostrar el cumplimiento de la Ley de Privacidad de Datos de New Hampshire.
- Exija al encargado del tratamiento que utilice un contrato con las mismas cláusulas para cualquier subcontratista y permita al responsable del tratamiento oponerse a su tratamiento.
- Exigir a los encargados del tratamiento que cooperen con las evaluaciones de protección de datos, ya sea recurriendo a un evaluador designado por el responsable del tratamiento o encargando la evaluación a un evaluador cualificado e independiente.
Debe aplicar medidas de seguridad de los datos
La Ley de Privacidad de Datos de New Hampshire exige a los responsables del tratamiento que establezcan, apliquen y mantengan medidas de seguridad para proteger adecuadamente los datos personales que recopilan.
En concreto, deben proteger la confidencialidad, integridad y accesibilidad de la información personal.
Sus técnicas de seguridad deben tener en cuenta el volumen y la naturaleza de los datos que recopila la entidad.
La ley de privacidad de datos de New Hampshire frente a otros estados: Similitudes y diferencias
Otros estados de EE.UU. tienen leyes de privacidad del consumidor que comparten similitudes con la ley de New Hampshire:
- California Consumer Protection Act (CCPA), as amended by the California Privacy Rights Act (CPRA)
- Ley de Privacidad de Colorado (CPA)
- Ley de Privacidad de Datos de Connecticut (CTDPA)
- Carta Digital de Derechos de Florida (FDBR)
- Ley de Delaware sobre Protección de Datos Personales (DPDPA)
- Ley de Protección de Datos de los Consumidores de Indiana (Indiana CDPA)
- Ley de Protección de Datos de los Consumidores de Iowa (Iowa CDPA)
- Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA)
- Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA)
- Ley de Privacidad de Datos en Línea de Maryland (MODPA)
- Ley de Protección de Datos de los Consumidores de Montana (MCDPA)
- Ley de Protección de Datos de Nebraska (NDPA)
- Ley de Protección de Datos de Nueva Jersey (NJDPA)
- Ley de Privacidad del Consumidor de Oregón (OCPA)
- Ley de Protección de la Información de Tennessee (TIPA)
- Ley de Privacidad y Seguridad de Datos de Texas (TDPSA)
- Ley de Privacidad del Consumidor de Utah (UCPA)
- Ley de Protección de Datos de los Consumidores de Virginia (VCDPA)
Lea la tabla siguiente para comparar la ley de privacidad de Nuevo Hampshire con las demás leyes de privacidad estatales.
| Legislación estatal | Consentimiento expreso para determinados tipos de tratamiento de datos | Consentimiento expreso para determinados tipos de tratamiento de datos | Debe presentar a los usuarios una política de privacidad (o aviso) | Requiere evaluaciones de protección de datos | Esboza la obligación contractual con terceros procesadores | Permite las demandas civiles o el derecho de acción privado | Debe respetar los controles globales de privacidad y la configuración de privacidad del navegador. |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de Indiana | ✓ | ✓ | ✓ | ✓ | |||
| Iowa CDPA | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
¿Cómo afectará la Ley de Protección de Datos de New Hampshire a los consumidores?
La Ley de Privacidad de Datos de New Hampshire otorga a los residentes del estado los siguientes derechos sobre su información personal:
- Confirmar si un responsable del tratamiento está tratando sus datos personales.
- Acceder a la información que el responsable del tratamiento procesa sobre ellos (a menos que acceder a ella exponga un secreto comercial).
- Corregir inexactitudes en su información.
- Borrar los datos facilitados por ellos u obtenidos sobre ellos.
- Obtener una copia portátil de sus datos.
- Exclusión del tratamiento de datos personales para publicidad dirigida.
- Optar por que no se vendan sus datos personales.
- Exclusión voluntaria de la elaboración de perfiles en el marco de decisiones exclusivamente automatizadas que produzcan efectos jurídicos o de importancia similar para el consumidor.
¿A quién se aplica la Ley de Protección de Datos de New Hampshire?
La Ley de Privacidad de Datos de New Hampshire se aplica a la información personal de los residentes del estado.
No se aplica a:
- Personas que actúan en un contexto comercial o laboral
- Personas que actúen como empleados, propietarios, directores, funcionarios o contratistas de una empresa, sociedad, empresa unipersonal o entidad sin ánimo de lucro.
- Organismos gubernamentales cuyas comunicaciones se produzcan únicamente en el contexto de la función del individuo en la empresa, sociedad, empresa unipersonal, organización sin ánimo de lucro u organismo gubernamental.
¿Cómo afectará a las empresas la Ley de Protección de Datos de New Hampshire?
Además de los requisitos de procesamiento legal, las solicitudes de consumidores verificadas y las directrices de seguridad mencionadas anteriormente, la Ley de Privacidad de Datos de New Hampshire también afecta a las políticas de privacidad y cookies de las empresas.
¿Cómo afectará la Ley de Privacidad de Datos de New Hampshire a mi política de privacidad?
Los responsables del tratamiento deben presentar a los consumidores una política de privacidad clara y significativa que incluya toda la información siguiente:
- Categorías de datos personales tratados
- Finalidad del tratamiento de los datos
- Cómo pueden los consumidores ejercer sus derechos y recurrir la decisión de un responsable del tratamiento en relación con estas solicitudes
- Las categorías de datos compartidos con terceros, en su caso
- Las categorías de terceros con los que se comparten los datos, en su caso
- Una dirección de correo electrónico activa u otro mecanismo en línea que el consumidor pueda utilizar para ponerse en contacto con el responsable del tratamiento
Además, los responsables del tratamiento deben indicar en su política de privacidad si venden datos a terceros o los tratan para publicidad dirigida, e incluir información sobre cómo el consumidor puede optar por no participar en este tipo de tratamiento de datos.
Para cumplir estos requisitos de notificación, las empresas deben actualizar sus políticas de privacidad.
¿Cómo afectará a mi política de cookies la Ley de Protección de Datos de New Hampshire?
La ley de privacidad del consumidor de New Hampshire considera que los datos recogidos de las cookies de Internet son datos personales, y los residentes tienen derecho a limitar cómo se procesan estas cookies.
Por ejemplo, si vende datos recogidos a través de cookies o los utiliza para realizar publicidad dirigida, debe informar de ello a sus usuarios y ofrecerles la posibilidad de excluirse.
¿Quién debe cumplir la nueva Ley de Protección de Datos de New Hampshire?
Organizaciones que desarrollan su actividad en el estado o que fabrican productos o servicios dirigidos a residentes del estado que cumplen los siguientes requisitos en un solo año natural:
- Controla o procesa los datos personales de al menos 35.000 consumidores únicos (excluidos los datos procesados únicamente para completar una transacción de pago).
- Controla o procesa los datos personales de no menos de 10.000 consumidores únicos y obtiene más del 25% de sus ingresos brutos anuales de la venta de datos personales.
¿Quién está exento de la Ley de Protección de Datos de New Hampshire?
Las siguientes organizaciones están exentas de cumplir la Ley de Protección de Datos de New Hampshire:
- Subdivisiones políticas de cualquier organismo estatal, autoridades, juntas, oficinas, comisiones, distritos o agencias
- Organizaciones sin ánimo de lucro
- Instituciones de enseñanza superior
- Asociaciones nacionales de valores registradas en virtud de la sección 78o-3 del título 15 del U.S.C. de la Securities Exchange Act de 1934, en su versión modificada.
- Entidades financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas o socios comerciales, tal como se definen en 45 C.F.R. 160.103. (b)
¿Cómo pueden prepararse las empresas para la Ley de Protección de Datos de New Hampshire?
Para prepararse para la nueva ley de privacidad de datos de New Hampshire, las empresas deben actualizar sus políticas de privacidad y cookies para cumplir con todas las obligaciones de notificación.
También debe configurar los banners de consentimiento de cookies para permitir a los usuarios optar por no participar en actividades de procesamiento como la publicidad dirigida y la venta de sus datos.
Si recurre a procesadores de datos, aplique contratos que incluyan las cláusulas obligatorias descritas por la ley.
Garantizar que haya dos o más métodos conformes para que los consumidores ejerzan sus derechos de privacidad de datos, como añadir un formulario DSAR a los sitios web.
Los sitios web también deben estar preparados para atender las solicitudes de exclusión voluntaria de los consumidores que utilicen las listas de exclusión voluntaria en sus navegadores o a través de una extensión del navegador, como las GPC.
¿Cómo se aplicará la Ley de Protección de Datos de New Hampshire?
En New Hampshire, el fiscal general es el único facultado para hacer cumplir la nueva ley.
Del 1 de enero al 31 de diciembre de 2025, el fiscal general puede emitir un aviso de infracción a los controladores y concederles un periodo de gracia de 60 días.
A partir del 1 de enero de 2026, la AG determinará caso por caso si un controlador o procesador obtiene un periodo de subsanación basado en:
- El número de infracciones
- El tamaño y la complejidad del controlador o procesador
- Naturaleza de las actividades de tratamiento
- La probabilidad de perjuicio para el público
- La seguridad de las personas o los bienes
- Si un error humano o técnico causó las presuntas infracciones
Multas y sanciones según la Ley de Protección de Datos de New Hampshire
El texto de la Ley de Privacidad de Datos de New Hampshire no incluye multas ni sanciones específicas.
Sin embargo, su infracción se considerará un método desleal de competencia o un acto o práctica engañosa en virtud de la ley RSA 358-A:2 y será aplicada por el AG.
El texto estipula que nada en la ley otorga a los consumidores el derecho a emprender acciones privadas.
Cómo ayuda Termly a cumplir la Ley de Protección de Datos de New Hampshire
Nuestro sitio Generador de Política de Privacidad incluye las cláusulas necesarias exigidas por la nueva legislación, lo que contribuye a simplificar su cumplimiento.
Con el respaldo de nuestro equipo jurídico y de expertos en privacidad de datos, nuestro Generador de política de privacidad formula preguntas básicas sobre su empresa y sus actividades de tratamiento de datos.
A continuación, crea una política única que puedes incrustar directamente en tu sitio web o aplicación.
También ofrecemos una plataformagestión del consentimiento (CMP) que puede configurarse para cumplir los requisitos de exclusión voluntaria establecidos por la ley de privacidad del consumidor de New Hampshire.
¿Existen otras leyes relacionadas con la privacidad en New Hampshire?
En New Hampshire existen otras leyes de privacidad de datos, como las siguientes:
- Ley de Derecho a la Privacidad de New Hampshire: Describe las directrices de notificación de violación de datos y ciberseguridad.
- Protección y privacidad de la información de alumnos y profesores: Describe las restricciones de los sitios web utilizados o comercializados para programas escolares K-12.
- Regulación de las prácticas comerciales para la protección del consumidor: Describe las prácticas comerciales desleales y engañosas, incluidas las políticas de privacidad falsas o engañosas.
Estas leyes funcionarán en tándem con la Ley de Privacidad de Datos de New Hampshire.
Resumen
Si su empresa cumple los umbrales legales de la Ley de Privacidad de Datos de New Hampshire, recuerde actualizar y presentar a los usuarios una política de privacidad conforme y asegúrese de que su política de cookies es precisa y describe si su sitio utiliza cookies para vender datos o realizar publicidad dirigida.
Implemente dos o más formas para que los usuarios de New Hampshire puedan enviar solicitudes verificables de seguimiento de sus derechos, como un formulario DSAR, y asegúrese de que su sitio web puede respetar las UOOM.
Utilice soluciones como nuestra plataformagestión del consentimiento (CMP) y Generador de Política de Privacidad para simplificar el cumplimiento de la ley de privacidad de New Hampshire.
Más sobre el autor
Escrito por Stefani Schmidt, M.S., CIPM, CIPP-US
Stefani es una profesional de la gestión de la privacidad de los datos, el riesgo, el cumplimiento y los programas con experiencia en los sectores de las comunicaciones, las finanzas y la tecnología publicitaria. La experiencia previa de Stefani incluye trabajar en estrecha colaboración con las partes interesadas de diferentes departamentos para impulsar las iniciativas de privacidad en todas las corporaciones, incluyendo el trabajo en las revisiones de privacidad y seguridad de las nuevas iniciativas de negocio y proveedores. Stefani tiene un máster en Tecnologías de la Seguridad por la Universidad de Minnesota - Twin Cities y una licenciatura en Periodismo y Ciencias Políticas. Más sobre el autor
