Inicio ' Recursos ' Artículos ' Ley de privacidad de datos de Nueva Jersey: Primera...

Ley de Privacidad de Datos de Nueva Jersey: Primer vistazo y resumen

Cubierto por Termly

Por: Josh Langeland, CIPM Josh Langeland, CIPM | Actualizado el: 12 de noviembre de 2025

Generar una Política de Privacidad Gratuita
Ley de privacidad de datos de Nueva Jersey (New-Jersey-Data-Privacy-Act-NJDPA-01)

El 16 de enero de 2024, el gobernador de Nueva Jersey firmó el proyecto de ley 332 del Senado, la Ley de Privacidad de Datos de Nueva Jersey (NJDPA), que ya está en vigor.

La NJDPA describe las protecciones de la privacidad y los derechos de los residentes del estado.

En esta guía, le explico qué exige la NJDPA, cómo afecta a las empresas y a los consumidores, y qué medidas debe tomar para cumplirla.

Índice
  1. ¿Qué es la Ley de Protección de Datos de Nueva Jersey (NJDPA)?
  2. Términos clave y definiciones de la NJDPA
  3. ¿Qué cubre la Ley de Protección de Datos de Nueva Jersey?
  4. Requisitos de la Ley de Protección de Datos de Nueva Jersey
  5. La Ley de Protección de Datos de Nueva Jersey frente a otros Estados: Similitudes y diferencias
  6. ¿Cómo afecta la NJDPA a los consumidores?
  7. ¿A quién se aplica la NJDPA?
  8. ¿Cómo afecta la NJDPA a las empresas?
  9. ¿Quién debe cumplir la nueva Ley de Protección de Datos de Nueva Jersey?
  10. ¿Cómo pueden prepararse las empresas para la NJDPA?
  11. ¿Cómo se hará cumplir la NJDPA?
  12. Multas y sanciones en virtud de la Ley de Protección de Datos de Nueva Jersey
  13. Cómo ayuda Termly al cumplimiento de la NJDPA
  14. ¿Existen otras leyes relacionadas con la privacidad en Nueva Jersey?
  15. Resumen

¿Qué es la Ley de Protección de Datos de Nueva Jersey (NJDPA)?

La Ley de Protección de Datos de Nueva Jersey (New Jersey Data Privacy Act) es una ley estatal de protección integral de los datos de los consumidores.

Protege la información personal de los habitantes del estado y describe las obligaciones, requisitos y directrices que deben seguir las entidades comerciales para recopilar y utilizar esos datos.

También describe las sanciones y repercusiones por infringir la ley.

Fecha de entrada en vigor de la NJDPA

La NJPDA entró en vigor el 15 de enero de 2025.

Términos clave y definiciones de la NJDPA

Para ayudar a su empresa a cumplir la NJDPA, lea la siguiente lista de términos y definiciones clave exactamente como aparecen en la ley:

Estos términos se utilizarán en el resto de esta guía teniendo en cuenta estas definiciones.

¿Qué cubre la Ley de Protección de Datos de Nueva Jersey?

La Ley de Privacidad de Datos de Nueva Jersey cubre la información personal de los residentes en Nueva Jersey y no se aplica a nadie en el estado que actúe en un contexto laboral.

Requisitos de la Ley de Protección de Datos de Nueva Jersey

Repasemos los principales requisitos empresariales esbozados por la nueva ley de privacidad de datos de Nueva Jersey.

Fines legítimos del tratamiento de datos personales

En virtud de la NJDPA, los responsables del tratamiento deben limitar la recogida de datos personales a lo que sea adecuado, pertinente y razonablemente necesario para los fines del tratamiento revelados al consumidor.

El responsable del tratamiento debe obtener el consentimiento del consumidor para recoger información que quede fuera de este ámbito y para recoger y tratar información personal sensible.

Consentimiento

Según la NJDPA, el consentimiento debe ser:

  • Claro
  • Afirmativo
  • Libremente concedido
  • Específico
  • Informado

En otras palabras, la ley exige el consentimiento expreso, que puede incluir una declaración escrita por medios electrónicos.

Sin embargo, el consentimiento no puede incluir la aceptación de un condiciones de uso general o amplio u otro documento similar, ni basarse en patrones oscuros, cuyo objetivo es manipular la autonomía y la capacidad de elección del usuario mediante técnicas como pasar el ratón por encima de un botón, silenciar, pausar o cerrar cualquier contenido.

Peticiones verificables de los consumidores

En virtud de la NJDPA, las organizaciones deben proporcionar dos o más vías para que las personas presenten solicitudes verificables de los consumidores para actuar sobre sus derechos de privacidad de datos.

Puede utilizar el método que desee, pero no puede exigir al consumidor que cree una cuenta.

Una vez recibida una solicitud de derechos de privacidad de datos, dispone de 45 días para responder al consumidor. En función de la complejidad de la solicitud, este plazo puede ampliarse 45 días más cuando sea razonablemente necesario.

La respuesta debe proporcionarse al consumidor de forma gratuita. Sin embargo, no está obligado a responder a solicitudes idénticas repetidas en un plazo de 12 meses.

Las empresas también deben establecer un proceso para que los consumidores puedan recurrir la decisión del controlador basada en sus solicitudes.

Respetar los mecanismos universales de exclusión voluntaria

La NJDPA incluye disposiciones que permiten a los consumidores presentar solicitudes verificadas de seguimiento de sus derechos de privacidad mediante una tecnología, un enlace a un sitio web de Internet, un ajuste o extensión del navegador o un ajuste global en un dispositivo electrónico.

En otras palabras, las organizaciones que se acojan a esta ley deben garantizar que sus sitios web puedan recibir y respetar las preferencias de consentimiento de los usuarios establecidas mediante mecanismos universales de exclusión voluntaria (UOOM) como Global Privacy Control(GPC).

Los requisitos del UOOM entran en vigor a más tardar seis meses después de la fecha de entrada en vigor de la nueva ley.

Obligaciones contractuales entre responsables y encargados del tratamiento

Tanto los responsables como los encargados del tratamiento con arreglo a la NJDPA deben firmar contratos en los que se especifique lo siguiente:

  • Establece las instrucciones de tratamiento a las que está sujeto el encargado del tratamiento, incluida la naturaleza y la finalidad del tratamiento.
  • Enumera los tipos de datos personales sujetos a tratamiento y la duración del mismo.
  • Establece los requisitos impuestos por la NJDPA.
  • Obliga al encargado del tratamiento a suprimir o devolver todos los datos al término de los servicios a discreción del responsable del tratamiento.
  • Obliga al encargado del tratamiento a poner a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de la ley.
  • Obliga al encargado del tratamiento a permitir y contribuir a las evaluaciones e inspecciones razonables del responsable del tratamiento o de un evaluador designado.

Evaluaciones de protección de datos

Algunas partes de la NJDPA exigen que las empresas cubiertas realicen evaluaciones de protección de datos o DPA cuando procesen información que pueda presentar un mayor riesgo de perjuicio para los consumidores.

En particular, la evaluación identifica y pondera los riesgos y beneficios de recoger y procesar esta información y tiene en cuenta:

  • Utilización de datos no identificados
  • Expectativas razonables de los consumidores
  • El contexto del tratamiento
  • La relación entre el controlador y el consumidor

Todos los APD deben ponerse a disposición de la División de Asuntos del Consumidor del Departamento de Derecho y Seguridad Pública, previa solicitud.

Requisitos de seguridad y protección

La NJDPA exige a los responsables del tratamiento que adopten medidas razonables para establecer, aplicar y mantener prácticas técnicas, administrativas y físicas de seguridad de los datos.

Las medidas de seguridad deben tener en cuenta el volumen de datos recogidos y la sensibilidad de la propia información.

La Ley de Protección de Datos de Nueva Jersey frente a otros Estados: Similitudes y diferencias

Nueva Jersey se une a otros estados de EE.UU. que cuentan con leyes exhaustivas sobre la privacidad de los datos de los consumidores:

Compare la NJDPA con estas otras leyes estatales de EE.UU. en la tabla siguiente.

Legislación estatal Consentimiento expreso para determinados tipos de tratamiento de datos Consentimiento expreso para determinados tipos de tratamiento de datos Debe presentar a los usuarios una política de privacidad (o aviso) Requiere evaluaciones de protección de datos Esboza la obligación contractual con terceros procesadores Permite las demandas civiles o el derecho de acción privado Debe respetar los controles globales de privacidad y la configuración de privacidad del navegador.
NJDPA
CCPA/CPRA
CPA
CTDPA
DPDPA
FDBR
CDPA de Indiana
Iowa CDPA
KCDPA
MN CDPA
MT CDPA
MODPA
NHDPL
OCPA
TIPA
TDPSA
UCPA
VCDPA

¿Cómo afecta la NJDPA a los consumidores?

La Ley de Privacidad de Datos de Nueva Jersey otorga a los consumidores el derecho a:

  • Confirmar si un responsable del tratamiento está recogiendo sus datos
  • Acceder a los datos personales recogidos sobre ellos.
  • Corregir inexactitudes en sus datos personales.
  • Borrar sus datos personales.
  • Obtener una copia portátil de sus datos personales.
  • Exclusión voluntaria del tratamiento de sus datos para publicidad dirigida
  • Rechazar la venta de su información.
  • Exclusión voluntaria de la elaboración de perfiles.
  • No discriminación por ejercer su derecho a la intimidad.

Los consumidores pueden presentar solicitudes verificables para hacer valer sus derechos a través de un agente autorizado, lo que incluye mecanismos universales de exclusión voluntaria como el Control Global de la Privacidad(CGP).

¿A quién se aplica la NJDPA?

La Ley de Privacidad de Datos de Nueva Jersey se aplica a la información personal identificable de los residentes en Nueva Jersey.

Sin embargo, no se aplica a:

  • Datos disponibles públicamente y desidentificados.
  • Información sanitaria protegida por el Departamento de Salud y Servicios Humanos de Estados Unidos.
  • Información de identificación personal utilizada por agencias específicas de información al consumidor.
  •  Datos recogidos y utilizados como parte de una investigación que cumple con la Política Federal para la protección de los sujetos humanos.

¿Cómo afecta la NJDPA a las empresas?

Junto con los requisitos de seguridad, las obligaciones contractuales y las directrices de evaluación de la protección de datos, la ley de protección de datos de Nueva Jersey también afecta a las políticas de privacidad y cookies.

¿Cómo afecta la NJPDA a mi política de privacidad?

La nueva ley de privacidad de datos de Nueva Jersey afecta a su política de privacidad.

En virtud de la NJPDA, los operadores que recopilan información personal identificable a través de un servicio en línea deben proporcionar una notificación de servicio en línea (también conocida como política de privacidad) a los consumidores que incluya, entre otras cosas:

  • Las categorías de información personal identificable recopilada a través del servicio en línea.
  • Las categorías de todos los terceros a los que el operador puede revelar la información.
  • Si el tercero recopila información de identificación personal a lo largo del tiempo en diferentes servicios en línea.
  • Una descripción de cómo los particulares pueden revisar o modificar la información recopilada.
  • Cómo notificará el operador a los usuarios los cambios en la política y una fecha de entrada en vigor.

Además, la ley exige a las empresas que incluyan una sección aparte en sus políticas de privacidad que explique uno o varios métodos que los consumidores pueden utilizar para presentar solicitudes verificables de seguimiento de sus derechos de privacidad.

¿Cómo afecta la NJDPA a mi política de cookies?

La NJDPA afecta a las políticas de cookies porque, según la ley, los usuarios tienen derecho a rechazar los anuncios dirigidos y la venta de sus datos, lo que incluye los datos recopilados mediante cookies de Internet.

Debe revelar todas las cookies que utiliza su sitio web de forma transparente en política de cookies y como cláusula de su política de privacidad.

Asegúrese de explicar a los usuarios cómo pueden optar por que no se instalen en sus navegadores cookies vendidas o utilizadas para publicidad dirigida.

¿Quién debe cumplir la nueva Ley de Protección de Datos de Nueva Jersey?

Las empresas que desarrollan su actividad en Nueva Jersey o fabrican productos y servicios destinados a los residentes del estado y que alcanzan uno de los siguientes umbrales en un año natural están sujetas a seguir la NJDPA:

  • Controla o procesa los datos personales de 100.000 personas, sin incluir los datos procesados con el único fin de completar una transacción de pago.
  • Controla o procesa los datos personales de al menos 25.000 personas y obtiene ingresos o recibe un descuento por la venta de la información.

¿Quién está exento de la NJDPA?

Las siguientes entidades y organizaciones están exentas de la NJDPA:

  • Entidades cubiertas o empresas asociadas que procesan información sanitaria protegida (PHI) y que están sujetas a la "Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA)".
  • Entidades financieras sujetas al cumplimiento de la Ley Gramm-Leach Bliley(GLBA)
  • Instituciones del mercado secundario, identificadas en el Código de Estados Unidos como instituciones autorizadas por el Congreso que realizan transacciones pero no transfieren ni venden información personal a terceros.
  • Entidades aseguradoras sujetas a la Ley de Prácticas de Información sobre Seguros.
  • La venta de información personal por parte de la Comisión de Vehículos de Motor de Nueva Jersey, tal como permite la Ley federal de protección de la intimidad de los conductores.
  • Cualquier agencia estatal, subdivisión política, división, consejo, oficina, comisión u otro organismo creado por una subdivisión política.

¿Cómo pueden prepararse las empresas para la NJDPA?

Para cumplir con la NJPDA, las empresas deben actualizar sus políticas de privacidad y cookies para cumplir con todos los requisitos de notificación establecidos por la ley.

Obtener el consentimiento adecuado de los consumidores para tratar datos personales sensibles y realizar evaluaciones de protección de datos según sea necesario.

Además, ofrezca a sus usuarios dos o más formas de excluirse de la venta de sus datos, de la publicidad dirigida y de la elaboración de perfiles, y haga un seguimiento de sus demás derechos de privacidad.

Por ejemplo, puede añadir un formulario de solicitud de acceso del interesado (DSAR) a su sitio web.

Por último, prepare su sitio web para responder a UOOMs como GPCs antes de la fecha límite de 2025.

¿Cómo se hará cumplir la NJDPA?

La Oficina del Fiscal General de Nueva Jersey tiene la autoridad única y exclusiva para hacer cumplir las infracciones de la nueva ley de privacidad de datos de Nueva Jersey.

Durante los 18 primeros meses de vigencia de la ley, los controladores que la infrinjan recibirán un aviso y un periodo de subsanación de 30 días.

No se impondrán sanciones mientras la infracción se subsane en ese plazo.

Multas y sanciones en virtud de la Ley de Protección de Datos de Nueva Jersey

Actualmente no se dispone de información sobre las multas y sanciones por infringir la NJDPA.

Sin embargo, el texto aclara que los consumidores no tienen derecho de acción privada.

Cómo ayuda Termly al cumplimiento de la NJDPA

Para ayudar a las empresas a cumplir con la NJDPA, hemos actualizado nuestra página Generador de Política de Privacidad para incluir todas las cláusulas necesarias y la información señalada por la ley.

Respaldado por nuestro equipo jurídico y nuestros expertos en privacidad de datos, el generador formula preguntas sencillas sobre su empresa y sus actividades de tratamiento de datos.

A continuación, elabora para usted una póliza conforme en función de su respuesta.

También ofrecemos una plataforma gestión del consentimiento (CMP) que puede configurar para cumplir los requisitos de exclusión voluntaria establecidos por la ley de privacidad de datos de Nueva Jersey.

La NJDPA es la primera ley integral sobre privacidad de datos de Nueva Jersey, pero en el estado existen algunas otras leyes relacionadas con la privacidad, por ejemplo:

La NJDPA trabaja junto con estas otras leyes, introduciendo más protecciones de la privacidad en el estado.

Resumen

Si su empresa cumple los umbrales legales de la Ley de Privacidad de Datos de Nueva Jersey, asegúrese de que su sitio web o aplicación es totalmente conforme.

Actualice sus políticas de cookies y de privacidad para cumplir todos los requisitos de notificación establecidos por la ley, y configure su sitio web para reconocer los UOOM antes de la fecha límite de julio de 2025.

Añada un formulario DSAR a su sitio web y recuerde utilizar los contratos adecuados con cualquier procesador de datos o tercero con el que trabaje.

Anticípese y utilice nuestros Generador de Política de Privacidady CMP, que pueden ayudarle a cumplir la NJDPA y mucho más.

Josh Langeland, CIPM
Más sobre el autor

Escrito por Josh Langeland, CIPM

Hola, soy Josh. Soy un ingeniero de privacidad apasionado por el uso de la tecnología para respetar la privacidad de los usuarios. Prospero en la intersección de la tecnología compleja y la legislación sobre privacidad en constante cambio. Si no estoy redactando una revisión de diseño o rediseñando un sistema, puede que me encuentres leyendo una biografía o haciendo senderismo en el parque nacional más cercano. Más sobre el autor
termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Generar una Política de Privacidad GRATUITA

Cree una política de privacidad completa y gratuita en cuestión de minutos.
Generar una Política de Privacidad Gratuita

Artículos Relacionados

  1. Política de privacidad para una empresa SaaS 01
    Política de privacidad para una empresa SaaS: cómo crear una
    Artículos

    4 de diciembre de 2025
    Hanna De La Garza
  2. Termly
    Termly vs PolicyMaker: Comparación de características y ventajas
    Comparaciones

    26 de noviembre de 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  3. Termly
    Termly vs Ketch: Comparación de características y servicios
    Comparaciones

    14 de noviembre de 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  4. EU-Compliant-Privacy-Policy-01
    Política de privacidad conforme a la UE
    Artículos

    7 de noviembre de 2025
    Hanna De La Garza
  5. Requisitos legales para las tiendas de comercio electrónico-01
    5 tipos de requisitos legales para las tiendas de comercio electrónico
    Artículos

    5 de noviembre de 2025
    Natasha Piirainen
  6. Cómo utilizar herramientas de inteligencia artificial sin vulnerar la legislación sobre privacidad-01
    Cómo utilizar herramientas de IA sin infringir las leyes y buenas prácticas de privacidad
    Artículos

    31 de octubre de 2025
    Natasha Piirainen
  7. AI-Privacidad-Estadísticas
    54 Estadísticas reveladoras sobre la privacidad de los datos de IA
    Artículos

    15 de octubre de 2025
    Hanna De La Garza
  8. 14-Políticas-de-sitio-web-que-necesita-y-cómo-hacerlas
    14 políticas del sitio web que necesita y cómo crearlas
    Artículos

    15 de octubre de 2025
    Hanna De La Garza
  9. ¿Cuál es la diferencia entre una política de privacidad -descargo dedescargo de responsabilidad?
    ¿Cuál es la diferencia entre una política de privacidad, descargo de responsabilidad, y los términos y condiciones?
    Artículos

    15 de octubre de 2025
    Natasha Piirainen

Explore más recursos