Rhode Island aprobó oficialmente su ley integral de privacidad de datos de los consumidores, la Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island (RIDTPPA), en junio de 2024.
En esta guía, resumo todo lo que las empresas necesitan saber sobre la RIDTPPA, incluidos sus requisitos, los derechos que concede a los consumidores, las sanciones por incumplimiento, etc.
- ¿Qué es la Ley de Transparencia de Datos y Protección de la Intimidad de Rhode Island (RIDTPPA)?
- Términos clave y definiciones del RIDTPPA
- ¿Qué cubre la Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island?
- Requisitos de la Ley de Transparencia de Datos y Protección de la Intimidad de Rhode Island
- Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island frente a otros Estados: Similitudes y diferencias
- ¿Cómo afectará la RIDTPPA a los consumidores?
- ¿A quién se aplica el RIDTPPA?
- ¿Cómo afectará la RIDTPPA a las empresas?
- ¿Quién debe cumplir la nueva Ley de Protección de Datos de Rhode Island?
- ¿Cómo se hará cumplir la RIDTPPA?
- Multas y sanciones en virtud de la Ley de transparencia de datos y protección de la intimidad de Rhode Island
- ¿Cómo ayudará Termly a cumplir la RIDTPPA?
- ¿Existen otras leyes relacionadas con la privacidad en Rhode Island?
- Resumen
¿Qué es la Ley de Transparencia de Datos y Protección de la Intimidad de Rhode Island (RIDTPPA)?
La Ley de Transparencia de Datos y Protección de la Intimidad de Rhode Island (RIDTPPA) es la ley de protección de datos de los consumidores aprobada recientemente en el estado.
Protege el modo en que entidades externas recopilan, procesan y utilizan la información personal de los residentes en Rhode Island y concede a las personas diversos derechos sobre sus datos.
La ley también establece sanciones en caso de incumplimiento.
Fecha de entrada en vigor del RIDTPPA
La nueva ley de privacidad de datos de Rhode Island entrará en vigor el 1 de enero de 2026.
Términos clave y definiciones del RIDTPPA
Para ayudarte con el cumplimiento de la RIDTPPA, he incluido algunos términos clave de la ley con sus definiciones precisas:
Cuando utilizo estos términos a lo largo de esta guía, es con estas definiciones en mente.
¿Qué cubre la Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island?
La RIDTPPA cubre la información personal de los residentes en Rhode Island.
No cubre a las personas del Estado que actúan en un contexto laboral o comercial.
Requisitos de la Ley de Transparencia de Datos y Protección de la Intimidad de Rhode Island
En la siguiente sección, resumo algunos de los principales requisitos que establece la Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island.
Base jurídica para el tratamiento de datos
Para recoger, almacenar o vender legalmente datos personales con arreglo a la RIDTPPA, los sitios web comerciales o los proveedores de servicios de Internet deben revelar todos los datos recogidos a los usuarios en un lugar bien visible de su sitio web.
Sin embargo, para tratar datos sensibles, debe obtener el consentimiento activo del cliente.
Consentimiento
La RIDTPPA exige el consentimiento para recoger y tratar información personal sensible o datos de menores conocidos.
La ley define el consentimiento como:
- Claro
- Afirmativo
- Libremente concedido
- Específico
- Informado
- Sin ambigüedades
El consentimiento puede incluir una declaración escrita por medios electrónicos, pero no puede implicar pasar el ratón por encima, silenciar, pausar o cerrar un contenido ni ningún acuerdo obtenido mediante patrones oscuros.
Obligaciones contractuales con los procesadores de datos
Según la RIDTPPA, debe existir un contrato entre todos los procesadores de datos y los responsables del tratamiento en el que se especifique lo siguiente:
- Garantizar que toda persona que trate los datos esté sujeta al deber de confidencialidad;
- A petición del responsable del tratamiento, exigir al encargado del tratamiento que suprima o devuelva todos los datos al finalizar el servicio, a menos que la ley exija su conservación;
- A petición del responsable del tratamiento, poner a su disposición toda la información que demuestre el cumplimiento del RIDTPPA por parte del encargado del tratamiento;
- Los responsables del tratamiento deben garantizar que los subcontratistas estén sujetos a un contrato escrito en el que se establezcan estas mismas obligaciones, pero que permita al responsable del tratamiento la oportunidad de oponerse al subcontratista.
- Cooperar con las evaluaciones razonables de protección de datos realizadas por el responsable del tratamiento o el evaluador designado, según sea necesario.
Evaluaciones de protección de datos
En virtud del RIDTPPA, deben realizarse evaluaciones de protección de datos para tratar datos con los siguientes fines:
- Publicidad dirigida
- Venta de datos
- Elaboración de perfiles cuando presente riesgos razonablemente previsibles de trato injusto o engañoso.
- Tratamiento de datos personales sensibles
Se puede utilizar una única evaluación si ya se ha realizado una para cumplir con las obligaciones establecidas por otras leyes de privacidad que son similares en su alcance.
El fiscal general puede exigir a un responsable del tratamiento que ponga a disposición la evaluación de la protección de datos para su evaluación con el fin de verificar el cumplimiento del RIDTPPA.
Seguridad de los Datos
En virtud de la RIDTPPA, las empresas deben aplicar medidas de seguridad para proteger la integridad y accesibilidad de todos los datos personales recogidos.
Aunque no se especifica qué técnicas de seguridad utilizar, los planteamientos comunes son:
- Cifrado
- Anonimización
- Controles de acceso
- Cortafuegos
Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island frente a otros Estados: Similitudes y diferencias
Varios otros estados de EE.UU. han aprobado leyes de privacidad de datos, entre ellos los siguientes:
- Ley de Protección de los Consumidores de California (CCPA) - actualmente en vigor
- Ley de Privacidad de Colorado (CPA) - actualmente en vigor
- Ley de Privacidad de Datos de Connecticut(CTDPA) - actualmente en vigor
- Ley de Privacidad de Datos Personales de Delaware(DPDPA) - en vigor desde el 1 de enero de 2025
- Carta de Derechos Digitales de Florida (FDBR) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Indiana(Indiana CDPA) - en vigor desde el 1 de enero de 2026
- Ley de protección de datos de los consumidores de Iowa(Iowa CDPA) - en vigor desde el 1 de enero de 2025
- Ley de Protección de Datos de los Consumidores de Kentucky(KCDPA) - en vigor desde el 1 de enero de 2026
- Ley de Protección de Datos de los Consumidores de Minnesota (MCDPA) - en vigor desde el 31 de julio de 2025
- Ley de Privacidad de Datos de los Consumidores de Montana(MCDPA) - en vigor a partir del 1 de octubre de 2024
- Ley de Privacidad de Datos en Línea de Maryland(MODPA) - en vigor desde el 1 de octubre de 2025
- Ley de Privacidad de Datos de Nebraska (NDPA) - en vigor desde el 1 de enero de 2025
- Ley de Privacidad de Datos de New Hampshire (NHDPL) - en vigor desde el 1 de enero de 2025
- Ley de Privacidad de Datos de Nueva Jersey(NJDPA) - en vigor desde el 15 de enero de 2025
- Ley de Privacidad del Consumidor de Oregón(OCPA) - actualmente en vigor
- Ley de Protección de la Información de Tennessee (TIPA) - en vigor desde el 1 de julio de 2025
- Ley de Privacidad y Seguridad de Datos de Texas (TDPSA) - actualmente en vigor
- Ley de Privacidad del Consumidor de Utah(UCPA) - actualmente en vigor
- Ley de Protección de Datos de los Consumidores de Virginia (VCDPA) - actualmente en vigor
Puede comparar aspectos de la RIDTPPA con estas otras leyes de privacidad estadounidenses en la tabla siguiente.
| Legislación estatal | Consentimiento expreso para determinados tipos de tratamiento de datos | Consentimiento expreso para determinados tipos de tratamiento de datos | Debe presentar a los usuarios una política de privacidad (o aviso) | Requiere evaluaciones de protección de datos | Esboza la obligación contractual con terceros procesadores | Permite las demandas civiles o el derecho de acción privado | Debe respetar los controles globales de privacidad y la configuración de privacidad del navegador. |
| RIDTPPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| FDBR | ✓ | ✓ | ✓ | ✓ | |||
| CDPA de Indiana | ✓ | ✓ | ✓ | ✓ | |||
| Iowa CDPA | ✓ | ✓ | ✓ | ||||
| KCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| CDPA de Minnesota | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| CDPA de Montana | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| MODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NHDPL | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| NJDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| OCPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| UCPA | ✓ | ✓ | ✓ | ||||
| VCDPA | ✓ | ✓ | ✓ | ✓ |
¿Cómo afectará la RIDTPPA a los consumidores?
La RIDTPPA afecta a los consumidores (llamados clientes en el texto de la ley) al concederles los siguientes derechos sobre su información personal:
- Confirmar si un responsable del tratamiento está tratando sus datos personales y acceder a ellos
- Corregir inexactitudes en sus datos
- Solicitar la supresión de sus datos personales
- Obtener una copia portátil de sus datos personales
- Exclusión voluntaria del tratamiento de datos con fines de publicidad dirigida, venta de datos o elaboración de perfiles
- Dar su consentimiento para que se recojan y traten sus datos personales sensibles
¿A quién se aplica el RIDTPPA?
La RIDTPPA se aplica a los residentes en Rhode Island, pero no se aplica a cualquier persona en el estado que actúe en un contexto comercial o laboral.
¿Cómo afectará la RIDTPPA a las empresas?
Más allá de los fines legales del tratamiento de datos, las obligaciones contractuales y otros requisitos que ya he cubierto, la RIDTPPA también afecta a las políticas de privacidad y cookies de las empresas.
¿Cómo afectará la RIDTPPA a mi política de privacidad?
La RIDTPPA afecta a su política de privacidad al exigir que incluya los siguientes datos:
- Identifique todas las categorías de datos personales recogidos a través del sitio web o del servicio en línea;
- Identifique a todos los terceros a los que el responsable del tratamiento vende datos;
- Identifique una dirección de correo electrónico activa u otro mecanismo en línea que los clientes puedan utilizar para ponerse en contacto con el responsable del tratamiento;
- Revele claramente si los datos se venden a terceros o se procesan para publicidad dirigida.
¿Cómo afectará el RIDTPPA a mi política de cookies?
La RIDTPPA afecta a su política de cookies porque la ley otorga a los usuarios el derecho a optar por no participar en determinados tratamientos de datos que puedan implicar el uso de cookies de Internet.
Por ejemplo, los clientes deben dar su consentimiento expreso antes de que se recopilen y traten datos personales sensibles sobre ellos y tienen derecho a negarse a que sus datos se vendan o traten para publicidad dirigida.
Asegúrese de que utiliza una plataforma gestión del consentimiento que permita a sus usuarios de Rhode Island ejercer sus derechos de inclusión y exclusión, y presénteles siempre un política de cookies actualizado y preciso.
¿Quién debe cumplir la nueva Ley de Protección de Datos de Rhode Island?
Su empresa debe cumplir la RIDTPPA si tiene ánimo de lucro, desarrolla su actividad en el estado o produce bienes y servicios destinados a los residentes de RI, y:
- En un año natural, controla o procesa los datos personales de 35.000 clientes, excluidos los datos procesados únicamente para completar una transacción de pago, o
- En un año natural, controla o procesa los datos personales de 10.000 clientes y obtiene un 20% o más de ingresos brutos de la venta de datos personales.
¿Quién está exento de la RIDTPPA?
Las siguientes entidades están exentas de cumplir la RIDTPPA:
- Cualquier autoridad, organismo, junta, oficina, comisión, distrito o agencia del estado de RI o de las subdivisiones políticas del estado.
- Organizaciones sin ánimo de lucro
- Instituciones de enseñanza superior
- Asociaciones nacionales de valores registradas en virtud de la Securities Exchange Act de 1934
- Entidades financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA)
¿Cómo pueden prepararse las empresas para el RIDTPPA?
Sus empresas pueden prepararse para la RIDTPPA asegurándose de que han actualizado sus políticas de cookies y privacidad para tener en cuenta todas las directrices de transparencia y notificación que marca la ley.
Utilice una plataforma gestión del consentimiento (CMP) en su sitio web para que sus clientes de Rhode Island puedan ejercer sus derechos de privacidad, como rechazar la publicidad dirigida o la venta de sus datos.
Por último, añadir un formulario de Solicitud de Acceso del Sujeto a los Datos (DSAR) a su sitio web le ayuda a proporcionar a los clientes una forma directa de presentar solicitudes para hacer un seguimiento de los derechos adicionales.
¿Cómo se hará cumplir la RIDTPPA?
El fiscal general hará cumplir la RIDTPPA, y la violación de la ley se considerará una práctica engañosa.
Multas y sanciones en virtud de la Ley de transparencia de datos y protección de la intimidad de Rhode Island
Las empresas que infringen la RIDTPPA están sujetas a multas de entre 100 y 500 dólares por incidente.
Sin embargo, los clientes no tienen derecho a emprender acciones privadas en virtud de la ley.
¿Cómo ayudará Termly a cumplir la RIDTPPA?
Termly ayudará a las empresas a simplificar su cumplimiento de la RIDTPPA garantizando que nuestra Generador de Política de Privacidad se actualice para cumplir todas las directrices de notificación establecidas por la ley antes de que sea aplicable en 2026.
Con el respaldo de nuestro equipo jurídico y de expertos en protección de datos, formula preguntas de respuesta múltiple sobre su empresa y sus actividades de tratamiento de datos.
Elabora una póliza personalizada en función de tus respuestas.
Nuestra plataforma gestión del consentimiento (CMP) también es configurable para cumplir los requisitos de exclusión e inclusión voluntarias descritos en la RIDTPPA.
Incluye un formulario DSAR gratuito, que facilita a las empresas la recepción de las solicitudes de los clientes para que se respeten sus derechos de privacidad.
¿Existen otras leyes relacionadas con la privacidad en Rhode Island?
En Rhode Island existen algunas otras leyes relacionadas con la privacidad que funcionarán en tándem con la RIDTPPA, entre ellas las siguientes:
- Ley de Protección frente al Robo de Identidad de 2015: Esta ley esboza protecciones para la información personal en relación con la divulgación de violaciones de los sistemas de seguridad. Exige la implantación de programas de seguridad basados en riesgos para prevenir los ciberdelitos.
- Ley de Capacitación del Consumidor y Prevención del Robo de Identidad de 2006: Esta ley también protege a los consumidores frente a las violaciones de datos, dándoles derecho a poner un bloqueo de seguridad en sus informes crediticios.
Resumen
Antes de que la RIDTPPA entre en vigor en 2026, asegúrese de que su empresa toma las medidas adecuadas para prepararse para su cumplimiento:
- Añada una política de privacidad a su sitio web o servicio en línea en la que informe a los usuarios de todos los datos que recopila y de si los comparte con terceros y cómo lo hace.
- Actualice su política de cookies para asegurarse de que revela todas las cookies de Internet utilizadas, de modo que sus clientes de RI puedan hacer valer sus derechos de privacidad.
- Añada un formulario DSAR a su sitio web para que los clientes de RI puedan enviar fácilmente solicitudes de acceso, rectificación o eliminación de sus datos personales.
- Utilice y firme un contrato conforme si trabaja con algún procesador de datos.
- Realizar las evaluaciones de protección de datos necesarias para fines específicos de tratamiento de datos.
Afortunadamente, con soluciones como Termly's Generador de Política de Privacidad y CMP, el cumplimiento de leyes como la RITDPPA nunca ha sido tan fácil.
Más sobre el autor
Escrito por Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
