La Ley de Delaware sobre Protección de Datos Personales es la primera ley integral sobre protección de los consumidores que existe en el Estado.
Entró en vigor el 1 de enero de 2025 y establece requisitos y restricciones para la recogida y tratamiento legales de datos personales de los consumidores.
En esta guía, sabrá si la DPDPA afecta a su empresa, qué derechos concede a los consumidores y cómo se compara con el resto de leyes de protección de datos vigentes en Estados Unidos.
- ¿Qué es la Ley de Privacidad de Datos Personales de Delaware (DPDPA)?
- Términos clave y definiciones de la DPDPA
- ¿Qué cubre la Ley de Delaware sobre Protección de Datos Personales?
- Requisitos de la DPDPA
- La Ley de Protección de Datos de Delaware frente a otros Estados: Similitudes y diferencias
- ¿Cómo afectará la DPDPA a los consumidores?
- ¿Cómo afectará la DPDPA a las empresas?
- ¿Quién debe cumplir la nueva Ley de Protección de Datos de Delaware?
- ¿Cómo pueden prepararse las empresas para la DPDPA?
- ¿Cómo se hará cumplir la DPDPA?
- Multas y sanciones en virtud de la Ley de Delaware sobre protección de datos personales
- ¿Cómo ayudará Termly a cumplir la DPDPA?
- ¿Existen otras leyes relacionadas con la privacidad en Delaware?
- Resumen
¿Qué es la Ley de Privacidad de Datos Personales de Delaware (DPDPA)?
La Ley de Privacidad de Datos Personales de Delaware (DPDPA), originalmente House Bill 154, es una ley de privacidad de datos que afecta al estado estadounidense de Delaware.
Describe los derechos y opciones que tienen los consumidores sobre su información personal y esboza los requisitos que deben seguir las entidades para recoger, procesar y utilizar legalmente esa información.
Además, explica quién tiene autoridad para hacer cumplir la ley y solicitar sanciones en caso de que alguien la infrinja.
Fecha de entrada en vigor de la DPDPA
La Ley de Delaware sobre Protección de Datos Personales entró en vigor el 1 de enero de 2025.
Términos clave y definiciones de la DPDPA
La Ley de Privacidad de Datos Personales de Delaware introduce varios términos clave que debe comprender para cumplir correctamente sus diversos requisitos.
A continuación figura una lista compilada de esos términos y sus definiciones exactamente como aparecen en el texto de la DPDPA:
¿Qué cubre la Ley de Delaware sobre Protección de Datos Personales?
La DPDPA cubre los datos personales de los residentes del estado de Delaware que actúan a título personal o doméstico.
Los datos personales que cubre incluyen cualquier cosa vinculada o razonablemente vinculable a una persona identificada o identificable, incluida la información personal sensible.
Requisitos de la DPDPA
La DPDPA exige a las entidades que sigan unas normas específicas para recoger, procesar, utilizar y compartir legalmente los datos personales, que explico a continuación.
Requisitos para el tratamiento de datos personales
Los responsables del tratamiento, en virtud del artículo 12D-106 de la DPDPA, deben limitar la recogida de datos personales a lo que se considere razonable, adecuado y pertinente para los fines del tratamiento tal como se presentan al usuario.
También debe establecer y mantener medidas razonables de seguridad técnica, administrativa y física para proteger la confidencialidad e integridad de la información.
El responsable del tratamiento debe obtener el consentimiento del consumidor para recoger y tratar datos que excedan de lo necesario.
Requisitos de consentimiento
Según la Ley de Privacidad de Datos Personales de Delaware, el consentimiento del consumidor debe ser:
- Afirmativo
- Libremente concedido
- Específico
- Informado
- Sin ambigüedades
Debe utilizar una declaración escrita u otro medio electrónico para señalar la acción afirmativa.
La solicitud de consentimiento no puede incluir una amplia condiciones de uso o documentos similares junto a los detalles del tratamiento de datos.
Además, la nueva ley de privacidad de datos de Delaware establece que utilizar patrones oscuros, pasar el ratón por encima, silenciar, pausar o cerrar un contenido no son signos de consentimiento.
Evaluaciones de protección de datos
La DPDPA exige a determinadas entidades que realicen evaluaciones de protección de datos, como se explica en el artículo 12D-108.
En concreto, los responsables del tratamiento que traten los datos de 100.000 consumidores (excluidos los datos tratados únicamente para completar operaciones de pago) deben realizar evaluaciones y documentarlas si:
- Tratar datos personales para publicidad dirigida.
- Vender datos personales.
- Tratar datos para la elaboración de perfiles.
- Procesar datos sensibles.
El responsable del tratamiento debe sopesar los beneficios del tratamiento de los datos de los consumidores frente a los riesgos potenciales para los derechos de los consumidores.
También deben tenerse en cuenta las salvaguardias existentes, como el uso de datos no identificados.
Puede utilizar una única evaluación para documentar múltiples actividades de tratamiento y cumplir los requisitos de otra ley de protección de datos con un ámbito de aplicación similar.
Obligaciones contractuales con terceros encargados del tratamiento
Según el artículo 12D-107 de la DPDPA, los responsables y encargados del tratamiento deben celebrar contratos específicos para cumplir las obligaciones de esta posible ley.
El contrato jurídicamente vinculante debe:
- Establecer claramente las instrucciones para el tratamiento de los datos.
- Explicar la naturaleza y la finalidad del tratamiento.
- Enumere los tipos de datos sujetos a tratamiento.
- Explique la duración del tratamiento.
- Establecer los derechos y obligaciones de ambas partes.
Además, el contrato debe exigir que el transformador:
- Garantiza que toda persona que procese la información esté sujeta al deber de confidencialidad.
- Suprime o devuelve todos los datos al responsable del tratamiento, tal y como se solicita, al finalizar los servicios o por indicación del responsable del tratamiento (a menos que la ley exija su conservación).
- Pone a disposición del responsable del tratamiento, previa solicitud razonable, toda la información que obra en su poder para demostrar el cumplimiento de la DPDPA.
- Exige a cualquier subcontratista que celebre un contrato con las mismas directrices tras dar al responsable del tratamiento la posibilidad de oponerse al subcontratista.
- Permite y coopera con las evaluaciones razonables del responsable del tratamiento, su evaluador designado o un evaluador independiente cualificado dispuesto por el encargado del tratamiento.
Controles globales de privacidad
En virtud del artículo 12D-105 de la DPDPA, los consumidores pueden designar una "configuración del navegador, extensión del navegador o configuración global del dispositivo" para indicar que se excluyen de determinados tipos de tratamiento.
Los responsables del tratamiento que se acojan a esta posible ley deberán configurar sus sitios web para responder adecuadamente a los Controles Globales de Privacidad (CGP) y otros mecanismos universales de exclusión voluntaria (MSO) antes del 1 de enero de 2026.
La Ley de Protección de Datos de Delaware frente a otros Estados: Similitudes y diferencias
La DPDPA comparte muchas similitudes con las leyes estatales de EE.UU. que se han firmado recientemente o están actualmente en vigor.
Entre esas leyes figuran las siguientes:
- Ley de Protección del Consumidor de California (CCPA), modificada por la Ley de Derechos de Privacidad de California (CPRA) - actualmente en vigor
- Ley de Privacidad de Colorado (CPA) - actualmente en vigor
- Ley de Privacidad de Datos de Connecticut (CTDPA) - actualmente en vigor
- Carta de Derechos Digitales de Florida (FDBR) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Indiana (Indiana CDPA) - en vigor desde el 1 de enero de 2026
- Ley de Protección de Datos de los Consumidores de Iowa (Iowa CDPA) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Kentucky (KCDPA) - en vigor desde el 1 de enero de 2026
- Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA) - en vigor desde el 31 de julio de 2025
- Ley de Privacidad de Datos en Línea de Maryland (MODPA) - en vigor desde el 1 de octubre de 2025
- Ley de Protección de Datos de los Consumidores de Montana (MCDPA) - actualmente en vigor
- Ley de Protección de Datos de Nebraska (NDPA) - actualmente en vigor
- Ley de Privacidad de Datos de New Hampshire (NHDPL) - actualmente en vigor
- Ley de Protección de Datos de Nueva Jersey (NJDPA) - actualmente en vigor
- Ley de Privacidad del Consumidor de Oregón (OCPA) - actualmente en vigor
- Ley de Protección de la Información de Tennessee (TIPA) - en vigor desde el 1 de julio de 2025
- Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) - actualmente en vigor
- Ley de Privacidad del Consumidor de Utah (UCPA) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) - actualmente en vigor
En la tabla siguiente, puede comparar la DPDPA con todas estas otras leyes estatales estadounidenses.
| Legislación estatal | Consentimiento expreso para determinados tipos de tratamiento de datos | Consentimiento expreso para determinados tipos de tratamiento de datos | Debe presentar a los usuarios una política de privacidad (o aviso) | Requiere evaluaciones de protección de datos | Esboza la obligación contractual con terceros procesadores | Permite las demandas civiles o el derecho de acción privado | Debe respetar los controles globales de privacidad y la configuración de privacidad del navegador. |
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de Indiana | ✓ | ✓ | ✓ | ✓ | |||
| Iowa CDPA | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MN CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| MT CDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
* La CCPA sólo concede un derecho de acción privado si una entidad compromete o expone la dirección de correo electrónico de un consumidor en combinación con una contraseña o pregunta de seguridad o información personal no cifrada y no redactada por negligencia.
¿Cómo afectará la DPDPA a los consumidores?
La nueva ley de privacidad de datos de Delaware repercute positivamente en los consumidores al concederles nuevos derechos y más control sobre la forma en que las entidades cubiertas procesan sus datos personales.
En concreto, la parte 12D-104 de la DPDPA concede a los consumidores el derecho a:
- Confirmar si un responsable del tratamiento está tratando sus datos personales y acceder a esa información.
- Corregir inexactitudes en sus datos.
- Suprimir la información personal facilitada por el consumidor u obtenida sobre él.
- Obtener una copia portátil de sus datos en un formato fácilmente utilizable en la medida en que sea técnicamente factible.
- Obtener una lista de las categorías de terceros a los que el responsable del tratamiento comunica sus datos.
- Exclusión de la publicidad dirigida.
- Excluirse de la venta de datos (con algunas excepciones).
- Exclusión vol untaria de la elaboración de perfiles en el marco de decisiones exclusivamente automatizadas que produzcan efectos jurídicos (o de importancia similar) en relación con la persona.
Estos derechos de los consumidores son muy similares a los que otorgan otras leyes estatales de Estados Unidos que ya están en vigor o se han aprobado recientemente.
¿A quién se aplica la DPDPA?
La Ley de Privacidad de Datos Personales de Delaware se aplica a la información personal de los residentes de Delaware que viven en un contexto personal o doméstico.
Sin embargo, no se aplica a las personas que actúan a título comercial o laboral.
Tampoco se aplica a los propietarios, directores, funcionarios o contratistas de una empresa, sociedad, empresa unipersonal, organización sin ánimo de lucro o agencia gubernamental.
¿Cómo afectará la DPDPA a las empresas?
La DPDPA afecta a las empresas de varias maneras, más allá de las evaluaciones de protección de datos y las obligaciones contractuales mencionadas anteriormente.
También afecta a su política de privacidad y política de cookies.
¿Cómo afectará la DPDPA a mi política de privacidad?
La DPDPA describe varios requisitos que pueden afectar a su actual política de privacidad.
Por ejemplo, la sección 12D-106 establece que los responsables del tratamiento deben presentar a los consumidores un aviso de privacidad "razonablemente accesible, claro y significativo" que incluya todo lo siguiente:
- Categorías de datos personales tratados
- Finalidad del tratamiento de los datos
- Cómo pueden los consumidores ejercer sus derechos y recurrir las decisiones del responsable del tratamiento en relación con sus solicitudes
- Las categorías de datos personales que el responsable del tratamiento comparte con terceros, en su caso
- Las categorías de terceros con los que el responsable del tratamiento comparte datos, en su caso
- Una dirección de correo electrónico activa o un mecanismo en línea que el consumidor pueda utilizar para ponerse en contacto con el responsable del tratamiento
- Si el responsable del tratamiento vende datos personales o los utiliza para publicidad dirigida, y cómo puede el consumidor optar por no participar en dichas actividades de tratamiento
- Una o varias formas seguras y fiables de que los consumidores puedan presentar solicitudes para ejercer sus derechos en virtud de la DPDPA.
Además, debe incluir un enlace a su sitio web dentro de su aviso de privacidad que lleve a una página web en la que el consumidor pueda renunciar a la publicidad dirigida y a la venta de sus datos.
¿Cómo afectará la DPDPA a mi política de cookies?
La Ley de Privacidad de Datos Personales de Delaware puede afectar a su sitio política de cookies si utiliza cookies de Internet para actividades de procesamiento específicas o si recopila determinados tipos de datos personales.
Por ejemplo, en virtud de esta posible ley, los consumidores tienen derecho a no participar:
- Publicidad dirigida
- La venta de sus datos
- Perfil
Si su empresa utiliza cookies y realiza alguna de esas actividades de tratamiento, debe actualizar su política de cookies para que lo describa claramente a sus clientes. También debe proporcionar un mecanismo de exclusión fácil.
Además, para recopilar información personal sensible a través de cookies de Internet, debe obtener el consentimiento activo antes de colocar cookies en los navegadores de los usuarios.
¿Quién debe cumplir la nueva Ley de Protección de Datos de Delaware?
Según el artículo 12D-103 de la DPDPA, debe cumplir esta ley si realiza negocios en el estado o produce productos o servicios dirigidos a residentes de Delaware y cumple alguna de las siguientes condiciones durante un año natural:
- Controlar o procesar la información personal de no menos de 35.000 consumidores (excluyendo la información personal procesada únicamente para completar transacciones de pago).
- Controlar o tratar los datos personales de no menos de 10.000 consumidores y obtener más del 20% de sus ingresos brutos anuales de la venta de datos personales.
Curiosamente, el umbral actual de la DPDPA es numéricamente menor que el de otras leyes estatales estadounidenses y es más probable que se aplique a pequeñas y medianas empresas.
¿Quién está exento de la DPDPA?
Todas las entidades siguientes están exentas de cumplir la DPDPA:
- Cualquier órgano regulador, administrativo, consultivo, ejecutivo, de nombramiento, legislativo o judicial del Estado o de una subdivisión política del Estado.
- Entidades financieras o sus filiales sujetas a la Ley Gramm Leach Bliley (GLBA)
- Organizaciones sin ánimo de lucro que se dedican exclusivamente a abordar y prevenir los delitos contra los seguros.
- Asociaciones nacionales de valores, de conformidad con la Securities Exchange Act de 1934.
¿Cómo pueden prepararse las empresas para la DPDPA?
Las empresas pueden prepararse para la Ley de Privacidad de Datos Personales de Delaware actualizando su política de privacidad para cumplir los requisitos de notificación descritos por la nueva ley.
Las entidades cubiertas también deben proporcionar múltiples maneras para que los consumidores expresen sus derechos de privacidad de datos, como la implementación de un banner de consentimiento y la adición de un formulario de Solicitud de Acceso del Sujeto de Datos a su sitio o aplicación.
Si su organización procesa datos de más de 100.000 consumidores, prevea realizar evaluaciones de protección de datos.
Del mismo modo, asegúrese de que los contratos con terceros procesadores o controladores cumplen las especificaciones establecidas por la DPDPA.
Por último, algunas partes de esta ley exigen que los sitios web de las entidades cubiertas respeten los Controles Globales de Privacidad, por lo que también debe preparar su plataforma para estas obligaciones.
¿Cómo se hará cumplir la DPDPA?
La DPDPA otorga al Departamento de Justicia la autoridad para hacer cumplir la ley en la Sección 12D-111 del proyecto de ley, a diferencia de otras leyes de privacidad estatales de EE.UU. que otorgan el poder de ejecución a sus respectivos Fiscales Generales.
El Departamento de Justicia concede a los controladores que infringen la ley un periodo de subsanación de 60 días.
Sin embargo, el periodo de subsanación finaliza el 31 de diciembre de 2025.
Después de esta fecha, el Departamento de Justicia tendrá en cuenta los siguientes detalles para determinar si el controlador obtendrá o no un periodo de subsanación:
- El número de infracciones
- El tamaño y la complejidad del controlador o procesador
- La naturaleza y el alcance de sus actividades de tratamiento
- La probabilidad de perjuicio para el público
- La seguridad de las personas o los bienes
- Si es probable que la presunta infracción se deba a un error humano o técnico
- En qué medida el responsable o encargado del tratamiento ha infringido leyes similares en el pasado.
Multas y sanciones en virtud de la Ley de Delaware sobre protección de datos personales
La versión actual de la DPDPA establece que el Departamento de Justicia puede perseguir las infracciones con arreglo al Subcapítulo II del Capítulo 25 del Título 29, una ley de protección de los consumidores.
Las multas y sanciones pueden alcanzar los 10.000 dólares por cada infracción.
La DPDPA estipula que los consumidores no tienen derecho a una acción privada en virtud de esta ley, pero pueden presentar quejas ante el Departamento de Justicia.
¿Cómo ayudará Termly a cumplir la DPDPA?
Termly ofrece generadores de políticas y una plataforma gestión del consentimiento (CMP) que pueden ayudar a las entidades a cumplir las directrices marcadas por la DPDPA.
Nuestro equipo jurídico y nuestros expertos en privacidad de datos son los autores de nuestras soluciones de cumplimiento, y las actualizamos periódicamente para estar al día de la nueva y cambiante legislación sobre privacidad de datos de todo el mundo.
Por ejemplo, Termly's Generador de Política de Privacidad le hace preguntas sencillas sobre las actividades de tratamiento de datos de su empresa y crea una política única basada en sus respuestas.
Vea una captura de pantalla a continuación.
Además, ofrecemos una plataformagestión del consentimiento que le proporciona un banner de consentimiento. Puede configurarlo para cumplir los requisitos de exclusión voluntaria descritos por leyes como la DPDPA.
Vea cómo queda en la siguiente captura de pantalla.
¿Existen otras leyes relacionadas con la privacidad en Delaware?
La DPDPA es la primera ley integral de protección de datos de los consumidores de Delaware, pero otras leyes del Código de Delaware afectan a la privacidad de los residentes del estado.
En particular, la Ley de Protección de la Privacidad en Línea de Delaware(DOPPA) describe directrices específicas para las entidades que gestionan sitios web en Internet, servicios de consultoría y computación en línea o en la nube, y aplicaciones móviles o en línea dirigidas a niños.
Además, la Ley de Protección de Datos de Estudiantes(SDPPA) protege la información personal de los estudiantes en el estado e impide que las entidades:
- Utilización de los datos de los estudiantes para la publicidad dirigida.
- Vender información de los estudiantes, salvo en circunstancias específicas.
- Crear un perfil publicitario del alumno a menos que sea para fines escolares K-12.
Resumen
La Ley de Privacidad de Datos Personales de Delaware ya está en vigor, y los requisitos que afectan a las UOOM entrarán en vigor en 2026.
Para cumplir con esta nueva legislación, las empresas deben actualizar sus políticas de cookies y privacidad para cumplir con las obligaciones de notificación.
También debe proporcionar a los consumidores múltiples formas de hacer un seguimiento de sus derechos, como un formulario DSAR y un banner de consentimiento con un centro de preferencias.
Recuerde que debe ofrecer a los consumidores una forma sencilla de rechazar los anuncios dirigidos, la venta de sus datos y determinados tipos de elaboración de perfiles.
Dé a su empresa una ventaja utilizando Termly's Generador de política de privacidad y CMP, y elimine algunas de las molestias del cumplimiento de la privacidad.
Más sobre el autor
Escrito por Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
