Si bien no se aprobaron nuevas leyes integrales de privacidad estatales en 2025, los legisladores no permanecieron inactivos. Varios estados modificaron sus marcos de privacidad existentes el año pasado, y varias leyes y regulaciones promulgadas anteriormente entrarán en vigor en 2026 y más allá. A continuación, se presenta un resumen práctico de las fechas de entrada en vigor y los cambios sustanciales más importantes que los equipos de privacidad deben tener en cuenta.
¿Cuántos Estados Tienen Leyes Integrales de Privacidad en 2026?
Veinte estados cuentan ahora con leyes integrales de privacidad en sus libros (contando Florida, que tiene un alcance más limitado que otras leyes estatales de privacidad).
Fechas de Entrada en Vigor de las Leyes de Privacidad el 1 de Enero de 2026
Entran en vigor nuevas leyes integrales de privacidad en Indiana (IN SB 5), Kentucky (KY HB 15) y Rhode Island (RI HB 7787/SB 2500). Las tres se asemejan en gran medida al modelo establecido en Virginia, aunque la ley de Rhode Island tiene umbrales de aplicabilidad notablemente bajos, cubriendo a las entidades que controlan o procesan los datos de al menos 35.000 consumidores, o 10.000 consumidores si más del 20 por ciento de los ingresos se derivan de la venta de datos personales. La ley de Kentucky fue modificada el año pasado (KY HB 473) antes de entrar en vigor, con cambios específicos en las exenciones a nivel de datos de atención médica y una aclaración de cuándo se requieren evaluaciones de protección de datos para la elaboración de perfiles.
Los legisladores de Oregon modificaron su ley de privacidad (OR HB 2008) para prohibir la venta de datos personales cuando un responsable tiene conocimiento real, o ignora deliberadamente el conocimiento, de que un consumidor tiene menos de 16 años. La enmienda también prohíbe la venta de datos de geolocalización precisos relacionados con la ubicación de un individuo dentro de un radio de 1.750 pies. El derecho a la curación de 30 días también expiró el 1 de enero.
California amplió la ley estatal de registro de corredores de datos a través de CA SB 361, que exige a los corredores de datos que revelen información significativamente más detallada sobre los datos personales que recopilan, incluyendo si dichos datos se venden a ciertas entidades como actores extranjeros, gobiernos federales o estatales, o desarrolladores de IA generativa. La ley también exige a los corredores que procesen las solicitudes de exclusión utilizando el mecanismo de eliminación accesible de la Agencia de Protección de la Privacidad de California en un plazo de 45 días a partir de su recepción.
California también promulgó una ley sobre la privacidad de los datos de salud del consumidor que entró en vigor el 1 de enero. El proyecto de ley (CA AB 45), aprobada en la sesión anterior, prohíbe la recopilación, el uso, la venta, el intercambio o la retención de datos personales de personas en o cerca de un centro de planificación familiar, excepto en circunstancias limitadas. Además, prohíbe el geocercado alrededor de las instalaciones de atención médica en persona para rastrear a las personas, recopilar datos, enviar notificaciones o hacer publicidad.
Además, nuevas regulaciones de privacidad de California entraron en vigor, exigiendo evaluaciones de riesgo obligatorias para las actividades de procesamiento que presenten un riesgo significativo para la privacidad del consumidor, con las evaluaciones iniciales venciendo el 1 de abril de 2028. Las regulaciones también establecen derechos de notificación y exclusión para los consumidores cuando la tecnología de toma de decisiones automatizada se utiliza para tomar decisiones significativas, aunque esas disposiciones no entrarán en vigor hasta el 1 de enero de 2027.
El Código de Diseño Apropiado para la Edad de Nebraska (NE LB 504) también entró en vigor a principios de año. La ley se aplica generalmente solo cuando un servicio en línea cubierto tiene conocimiento real de que los datos provienen de un menor, o cuando el servicio no puede concluir razonablemente que menos del 2 por ciento de sus usuarios son menores, a diferencia de leyes similares en Maryland y Vermont que se aplican a los servicios que probablemente sean accedidos por menores.
La Ley de Gobernanza de Inteligencia Artificial Responsable de Texas (TX HB 149) también entró en vigor el 1 de enero, prohibiendo ciertos usos perjudiciales de la inteligencia artificial. La ley aplica los requisitos de privacidad existentes a los datos recopilados o procesados para los sistemas de IA, aclara cuándo se considera que un individuo ha consentido la captura biométrica y crea excepciones limitadas para los datos biométricos utilizados para entrenar modelos de IA bajo condiciones específicas.
Cronograma de Implementación de la Ley de Privacidad a Medio Año 2026
Entrada en vigor el 31 de enero de 2026
- Minnesota. El derecho a la curación de 30 días en la ley de privacidad de Minnesota expira.
Entrada en vigor el 1 de junio de 2026
- Kentucky. En Kentucky, se requieren evaluaciones de impacto de la protección de datos para las actividades de procesamiento de datos creadas o generadas después de esta fecha.
Entrada en vigor el 1 de julio de 2026
- Connecticut. Las enmiendas a la Ley de Privacidad de Datos de Connecticut promulgadas el año pasado (CT SB 1295) entran en vigor este verano, expandiendo significativamente el alcance de la ley y endureciendo las obligaciones sustanciales. El proyecto de ley reduce el umbral de aplicabilidad de 100.000 a 35.000 residentes de Connecticut y extiende la cobertura a las entidades que procesan datos confidenciales o venden datos personales, independientemente del volumen. Reemplaza la amplia exención a nivel de entidad GLBA con una exención a nivel de datos más estrecha y refina otras exclusiones de servicios financieros. La definición de datos confidenciales se amplía para incluir el tratamiento relacionado con la discapacidad, el estado no binario, los datos neuronales, cierta información de cuentas financieras y los datos de identificación emitidos por el gobierno. También abarca ahora los datos derivados de datos genéticos o biométricos, en lugar de solo los datos subyacentes. Los responsables deben obtener el consentimiento separado para vender datos confidenciales y deben proporcionar a los consumidores una lista de terceros a los que se han vendido sus datos personales. La recopilación de datos se limita a lo que es “razonablemente necesario y proporcional” a los fines divulgados, y los responsables deben revelar cuándo se recopilan, utilizan o venden los datos para entrenar modelos lingüísticos grandes. Las enmiendas también agregan nuevas protecciones para los menores, incluidas las prohibiciones de la venta de datos de menores, las restricciones a la publicidad dirigida y los límites a la recopilación de geolocalización a lo estrictamente necesario.
- Arkansas. Los legisladores de Arkansas también aprobaron la Ley de Protección de la Privacidad en Línea de Niños y Adolescentes (AR HB 1717), que impone restricciones de privacidad a los operadores de sitios web, servicios en línea y aplicaciones dirigidas a niños o adolescentes, o que tienen conocimiento real de que un usuario es un adolescente. La ley exige el consentimiento informado de los padres para la recopilación o divulgación de la información personal de un menor, otorga a los padres el derecho a eliminar cuentas o corregir información personal y prohíbe la recopilación de datos personales de niños conocidos para publicidad dirigida o fines que vayan más allá del contexto del servicio solicitado.
- Utah’s nueva ley (UT HB 418) que otorga a los consumidores el derecho a corregir imprecisiones también entra en vigor este verano.
Entrada en vigor el 1 de agosto de 2026
- California requerirá que los corredores de datos accedan al mecanismo de eliminación de la Agencia de Protección de la Privacidad de California cada 45 días y procesen las solicitudes de eliminación en virtud de la Ley de Eliminación (CA SB 362).
Desarrollos de la Ley de Privacidad Más Allá de 2026 (De Cara a 2027)
Finalmente, a partir del 1 de enero de 2027, entrarán en vigor el Código de Diseño Apropiado para la Edad de California (CA AB 1043), la Ley de Exclusión de California (CA AB 566) y el Código de Diseño Apropiado para la Edad de Vermont (VT SB 69). Notablemente ausente de esta lista está la Ley de Privacidad de la Información de Salud de Nueva York (NY A 2141/S 9292), una propuesta similar a la ley de datos de salud del consumidor de Washington. La gobernadora Kathy Hochul vetó el proyecto de ley el mes pasado, expresando su preocupación de que el proyecto de ley fuera demasiado amplio y planteara desafíos de cumplimiento significativos.
Seguimiento de la Legislación Estatal de Tecnología y Privacidad
El equipo de MultiState está identificando y rastreando activamente los problemas de tecnología y privacidad para que las empresas y organizaciones tengan la información que necesitan para navegar y participar eficazmente. Si su organización desea rastrear estos u otros temas relacionados, por favor contáctenos.
