Delaware
Leyes de Privacidad de Datos de Delaware: Guía de Derechos del Consumidor bajo la DPDPA (2026)

La Ley de Privacidad de Datos Personales de Delaware (6 Del. C. cap. 12D) entró en vigencia el 1 de enero de 2025, y otorga a los residentes de Delaware el derecho de acceder, corregir, eliminar y transferir sus datos personales, y de excluirse de la publicidad dirigida. Las empresas que procesan datos de 35,000 o más consumidores de Delaware deben cumplir.
Delaware promulgó el estatuto de privacidad de datos del consumidor más ambicioso de la Costa Este cuando el gobernador John Carney firmó el Proyecto de Ley de la Cámara 154 el 11 de septiembre de 2023. La Ley de Privacidad de Datos Personales de Delaware (DPDPA) entró en vigencia el 1 de enero de 2025, convirtiendo a Delaware en el 13.º estado del país en promulgar una ley integral de privacidad de datos del consumidor.
Tres características distinguen a la DPDPA de la mayoría de las leyes estatales de privacidad. Primero, su umbral de aplicabilidad de 35,000 consumidores está entre los más bajos del país, lo que incluye a empresas considerablemente más pequeñas de las que abarcan las leyes de California, Virginia o Texas. Segundo, la ley se aplica a organizaciones sin fines de lucro e instituciones de educación superior. Tercero, la definición de datos sensibles alcanza categorías que la mayoría de los demás estados no aborda específicamente, incluido el estatus transgénero o no binario y la ciudadanía o el estatus migratorio.
Esta guía explica cada capa del marco de privacidad de datos de Delaware: la DPDPA, la Delaware Online Privacy and Protection Act, la ley de notificación de violaciones de datos, y los estatutos federales que se superponen a las tres.
Alcance jurisdiccional: Este artículo cubre las leyes estatales de privacidad de datos de Delaware, principalmente la DPDPA (6 Del. C. cap. 12D), la Delaware Online Privacy and Protection Act (6 Del. C. cap. 12C), y la ley de notificación de violaciones de datos de Delaware (6 Del. C. cap. 12B). También aborda las leyes federales aplicables, incluidas HIPAA, GLBA, COPPA, FCRA y la TAKE IT DOWN Act. No aborda la ley de consentimiento de grabación de Delaware; para eso, consulte las leyes de grabación de Delaware.
Resumen de la Ley de Privacidad de Datos Personales de Delaware
La DPDPA está codificada como el Capítulo 12D del Título 6 del Código de Delaware, y abarca las secciones 12D-101 a 12D-114. El Proyecto de Ley de la Cámara 154, presentado por la representante Griffith, fue aprobado por ambas cámaras de la Asamblea General de Delaware en 2023. El gobernador Carney firmó el proyecto el 11 de septiembre de 2023.
La ley otorga a los consumidores de Delaware un control significativo sobre sus datos personales. Exige que las empresas cubiertas sean transparentes sobre sus prácticas de recopilación, atiendan las solicitudes de derechos del consumidor dentro de los plazos definidos, y mantengan una seguridad de datos razonable. Establece una estructura escalonada: los controladores (entidades que deciden los fines y los medios del procesamiento) llevan la carga principal de cumplimiento; los encargados del procesamiento (entidades que procesan en nombre de los controladores) llevan deberes contractuales y de gestión de subcontratistas.
A diferencia de la CCPA de California, la DPDPA no otorga facultad reglamentaria a ninguna agencia estatal. La ley se aplica tal como está escrita por el Fiscal General, sin el proceso formal de orientación regulatoria que la Agencia de Protección de la Privacidad de California usa para emitir reglas vinculantes.

Quién Debe Cumplir: Umbrales de Aplicabilidad
La DPDPA se aplica a las personas que realizan negocios en Delaware o producen productos y servicios dirigidos a residentes de Delaware y que cumplen con al menos un umbral de volumen de datos durante el año calendario anterior, según 6 Del. C. § 12D-103.
El Umbral de 35,000 Consumidores
El primer umbral se aplica cuando una entidad controla o procesa los datos personales de al menos 35,000 consumidores, excluyendo los datos procesados únicamente para completar una transacción de pago. Este umbral no va acompañado de ningún requisito de ingresos.
La mayoría de las leyes estatales de privacidad establecen su umbral principal en 100,000 consumidores. El piso de 35,000 consumidores de Delaware significa que empresas considerablemente más pequeñas quedan dentro del alcance. Nuevo Hampshire establece el mismo umbral de 35,000; ninguna otra ley estatal integral de privacidad actualmente va más abajo.
El Umbral de 10,000 Consumidores por Ingresos
El segundo umbral se aplica a las entidades que controlan o procesan los datos personales de al menos 10,000 consumidores y derivan más del 20% de los ingresos brutos anuales de la venta de datos personales. Esta disposición captura principalmente a los corredores de datos y a los modelos de negocio construidos sobre la venta de información del consumidor.
Enmienda Pendiente: HB 380
El Proyecto de Ley de la Cámara 380, presentado en la 153.a Asamblea General, enmendaría la DPDPA para reducir el umbral principal de 35,000 a 15,000 consumidores. El Comité de Tecnología de la Cámara votó 4-0 para avanzar el HB 380 el 21 de abril de 2026. Consumer Reports y el Electronic Privacy Information Center (EPIC) presentaron cartas de apoyo. El proyecto también propone ampliar la definición de datos sensibles y reforzar los requisitos de evaluación de protección de datos.
El HB 380 no había sido aprobado por la Cámara en pleno ni promulgado como ley hasta mayo de 2026. Las empresas deben monitorear su avance; si se promulga, el umbral más bajo extendería las obligaciones de la DPDPA a un universo significativamente mayor de entidades que operan en Delaware.
Organizaciones Sin Fines de Lucro e Instituciones de Educación Superior
La aplicabilidad de la DPDPA a las organizaciones sin fines de lucro es una de sus características más distintivas. La mayoría de las leyes estatales de privacidad eximen por completo a las organizaciones 501(c)(3). Delaware aplica la DPDPA a las organizaciones sin fines de lucro 501(c)(3), 501(c)(4), 501(c)(6) y 501(c)(12), sujetas solo a excepciones limitadas para las organizaciones sin fines de lucro dedicadas exclusivamente a la prevención del fraude de seguros y aquellas que atienden a víctimas de violencia doméstica, agresión sexual, acoso o tráfico de personas.
Las instituciones de educación superior también están cubiertas porque quedan fuera de la exención para entidades gubernamentales. Los colegios y universidades que cumplen con los umbrales de aplicabilidad deben cumplir con la DPDPA para los datos personales que no estén protegidos por la FERPA. Solo Colorado y Oregon tienen una cobertura de organizaciones sin fines de lucro igualmente amplia entre las leyes estatales integrales de privacidad.
Entidades Exentas
La DPDPA exime a los organismos gubernamentales estatales y locales; a las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA); a las entidades cubiertas por HIPAA; y a las asociaciones nacionales de valores registradas según la Securities Exchange Act de 1934. Las exenciones por tipo de dato se aplican a la información de salud protegida según HIPAA, a los datos financieros según la GLBA, y a los registros educativos según la FERPA.
Derechos del Consumidor Bajo la DPDPA
La Sección 12D-104 otorga a los residentes de Delaware seis derechos fundamentales sobre sus datos personales.
Derecho de acceso. Los consumidores pueden confirmar si un controlador procesa sus datos personales y acceder a los datos específicos que se están procesando.
Derecho de corrección. Los consumidores pueden solicitar correcciones a los datos personales inexactos. Los controladores deben tomar medidas razonables para corregir la información, considerando la naturaleza y el propósito de los datos.
Derecho de eliminación. Los consumidores pueden solicitar la eliminación de los datos personales que el controlador recopiló, ya sea que se hayan obtenido directamente del consumidor o de otras fuentes.
Derecho a la portabilidad de datos. Los consumidores pueden obtener una copia de sus datos personales en un formato portátil y fácilmente utilizable que permita su transferencia a otro controlador sin obstáculos.
Derecho a conocer a los destinatarios externos. Según el § 12D-104(a)(6), los consumidores pueden solicitar una lista de las categorías de terceros a los que un controlador ha divulgado sus datos personales. Este derecho está ausente en varias otras leyes estatales de privacidad.
Derecho de exclusión. Los consumidores pueden excluirse de tres tipos de procesamiento: la publicidad dirigida (anuncios seleccionados en función de datos de comportamiento entre contextos), la venta de datos personales (a cambio de una contraprestación monetaria u otra de valor), y la elaboración de perfiles que produzca efectos jurídicos o de importancia similar.
Plazo de Respuesta
Los controladores deben responder a las solicitudes de derechos del consumidor dentro de los 45 días. Está disponible una única extensión de 45 días cuando sea razonablemente necesario, siempre que el controlador notifique al consumidor sobre la extensión y explique el motivo. El portal de preguntas frecuentes del Fiscal General de Delaware especifica que los controladores deben incluir un enlace de exclusión fácilmente accesible en su sitio web.
Protecciones de Datos Sensibles
La Sección 12D-102 define los datos sensibles de manera amplia. Los controladores deben obtener consentimiento de inclusión antes de procesar cualquier categoría de datos sensibles.
Las categorías de datos sensibles de la DPDPA incluyen:
- Origen racial o étnico
- Creencias religiosas
- Condición o diagnóstico de salud mental o física
- Vida sexual u orientación sexual
- Estatus transgénero o no binario
- Ciudadanía o estatus migratorio
- Datos genéticos
- Datos biométricos utilizados para identificar a una persona
- Datos personales de un menor conocido de menos de 13 años
- Datos de geolocalización precisa
La inclusión del estatus transgénero o no binario y de la ciudadanía o el estatus migratorio distingue a la DPDPA de casi todas las demás leyes estatales de privacidad. Solo Oregon incluye categorías comparables.
El consentimiento para el procesamiento de datos sensibles debe ser afirmativo, otorgado libremente, específico, informado e inequívoco. Los controladores no pueden usar patrones oscuros ni técnicas de diseño engañosas para obtener el consentimiento.
Si se promulga el HB 380, la definición de datos sensibles se ampliaría aún más. El proyecto propone agregar información de salud reproductiva o sexual, datos financieros, y ciertas características biométricas. Las empresas deben estar atentas al texto legislativo final.

Protecciones de Datos de Menores
La DPDPA superpone protecciones para menores sobre los requisitos federales de la COPPA, extendiendo las obligaciones más allá de lo que exige la ley federal.
Menores de 13 años. Los datos personales de un menor conocido de menos de 13 años son automáticamente datos sensibles. Los controladores deben obtener el consentimiento parental verificable antes de procesarlos. El cumplimiento de los requisitos de consentimiento parental verificable de la COPPA satisface este requisito estatal según el § 12D-102.
Entre 13 y 17 años. Los controladores no pueden procesar los datos personales de un adolescente para publicidad dirigida, ni vender los datos personales de un adolescente, sin obtener primero el consentimiento de inclusión directamente del menor. Se necesitan mecanismos de verificación de edad para operacionalizar este requisito. El adolescente debe aceptar de forma afirmativa antes de que sus datos se usen para publicidad dirigida o se vendan.
Esta protección para los adolescentes de 13 a 17 años va más allá de la COPPA, que solo cubre a los menores de 13 años. Las empresas que atienden a audiencias adolescentes en Delaware deben tratar los datos de menores de hasta 17 años de manera diferente a los datos de adultos.
Delaware Online Privacy and Protection Act
Además de la DPDPA, Delaware promulgó la Online Privacy and Protection Act (DOPPA), codificada en 6 Del. C. cap. 12C, vigente desde el 1 de enero de 2016.
La DOPPA tiene tres componentes distintos.
Restricciones de marketing para menores de 18 años. Los operadores de sitios web, servicios en línea, aplicaciones y aplicaciones móviles dirigidos a menores no pueden comercializar ni anunciar productos o servicios en ciertas categorías restringidas. Esas categorías incluyen bebidas alcohólicas, tabaco, armas de fuego, fuegos artificiales, equipos de bronceado, loterías, perforaciones corporales, tatuajes y parafernalia de drogas. A diferencia del alcance de la COPPA, limitado a menores de 13 años, la DOPPA se aplica a cualquier persona menor de 18 años.
Requisitos de política de privacidad. Los sitios web comerciales, los servicios en línea y las aplicaciones que recopilan información personal de residentes de Delaware deben mantener y publicar una política de privacidad. La política debe identificar los tipos de información personal recopilada, describir las categorías de terceros con quienes se comparte, y explicar cómo los usuarios pueden revisar y solicitar cambios a su información.
Protección de datos estudiantiles. La Student Data Privacy Protection Act, parte del marco de la DOPPA, restringe la forma en que los operadores de servicios de tecnología educativa pueden usar los datos de los estudiantes. Los operadores que atienden a escuelas K-12 no pueden usar los datos de los estudiantes para publicidad dirigida, vender la información de los estudiantes, ni crear perfiles publicitarios de los estudiantes, salvo para fines escolares autorizados.
Las empresas que recopilan datos de residentes de Delaware en línea, y especialmente aquellas cuyos servicios llegan a usuarios menores de 18 años o al mercado educativo K-12, deben sumar el cumplimiento de la DOPPA a su análisis de la DPDPA.
Requisito de Mecanismo de Exclusión Universal
La Sección 12D-106(e) exige que los controladores reconozcan las señales de preferencia de exclusión universal. Este requisito entró en vigencia el 1 de enero de 2026 y ya está en vigor.
Cuando un consumidor usa una extensión de navegador o una plataforma configurada para enviar una señal de Control de Privacidad Global (GPC) o un mecanismo similar, el controlador debe tratar esa señal como una solicitud de exclusión válida para la publicidad dirigida y la venta de datos. Los controladores no pueden exigir pasos adicionales de verificación, no pueden ignorar la señal, y no pueden crear barreras que perjudiquen a los consumidores que ejercen esta preferencia.
El mecanismo de exclusión debe ser amigable para el consumidor, representar una elección afirmativa y libremente otorgada, y ser coherente con mecanismos similares reconocidos por otras leyes estatales de privacidad. El requisito de Delaware se alinea con California, Colorado, Connecticut y Montana, todos los cuales exigen el reconocimiento del GPC.
Obligaciones de los Controladores y Encargados del Procesamiento
La Sección 12D-106 establece los deberes de los controladores.
Minimización de datos. Los controladores deben limitar la recopilación de datos personales a lo que sea adecuado, relevante y razonablemente necesario para el propósito divulgado.
Limitación de la finalidad. Los datos personales solo pueden procesarse para fines razonablemente necesarios y compatibles con los divulgados al consumidor.
Medidas de seguridad. Los controladores deben implementar prácticas razonables de seguridad de datos administrativas, técnicas y físicas apropiadas para el volumen y la sensibilidad de los datos procesados.
Avisos de privacidad. Los avisos deben divulgar las categorías de datos procesados, los fines del procesamiento, cómo los consumidores pueden ejercer sus derechos, las categorías de terceros que reciben los datos, y las categorías de datos compartidos con esos terceros.
No discriminación. Los controladores no pueden procesar datos personales de una manera que discrimine ilícitamente a los consumidores que ejercen sus derechos de privacidad.
Los encargados del procesamiento deben seguir las instrucciones del controlador, mantener obligaciones de confidencialidad para el personal que maneja los datos, eliminar o devolver todos los datos personales al finalizar el contrato, cooperar con las evaluaciones del controlador, y exigir contractualmente a los subcontratistas que cumplan con las mismas obligaciones.
Evaluaciones de Protección de Datos
Los controladores que procesan los datos personales de 100,000 o más consumidores deben realizar evaluaciones de protección de datos según el § 12D-108 cuando participan en publicidad dirigida, venden datos personales, elaboran perfiles que plantean un riesgo previsible de daño, o procesan datos sensibles. Las evaluaciones deben sopesar los beneficios del procesamiento frente a los riesgos potenciales para los consumidores.
Aplicación de la Ley y Sanciones
La Sección 12D-111 otorga autoridad exclusiva de aplicación al Fiscal General de Delaware. No existe un derecho de acción privada.
Sanciones Civiles
Cada infracción de la DPDPA constituye una práctica ilícita bajo las leyes de protección al consumidor de Delaware. El Fiscal General puede buscar sanciones civiles de hasta $10,000 por infracción, medidas cautelares, y restitución en nombre de los consumidores afectados. Debido a que cada consumidor afectado puede constituir una infracción separada, la exposición total puede acumularse rápidamente en casos de incumplimiento sistémico.
Período de Subsanación: Ahora Vencido
Desde el 1 de enero de 2025 hasta el 31 de diciembre de 2025, se aplicó un período obligatorio de subsanación de 60 días. Si el Fiscal General determinaba que una infracción era subsanable, el controlador recibía un aviso escrito y 60 días para remediar el problema antes de que pudiera proceder cualquier acción de aplicación.
El período obligatorio de subsanación venció el 31 de diciembre de 2025. Desde el 1 de enero de 2026, el Fiscal General tiene plena facultad discrecional para decidir si ofrece una oportunidad de subsanación. Los factores que considera el Fiscal General incluyen el número de infracciones, el tamaño y la complejidad de la entidad, la naturaleza y el alcance de la actividad de procesamiento, la probabilidad de daño a los consumidores, y si el controlador ha demostrado esfuerzos de cumplimiento de buena fe.
Hasta mayo de 2026, el Departamento de Justicia de Delaware no ha anunciado públicamente acciones formales de aplicación bajo la DPDPA. La oficina del Fiscal General ha centrado su postura de aplicación temprana en la difusión, la educación sobre cumplimiento a través de su Portal de Privacidad de Datos Personales, y las guías publicadas para consumidores. Las empresas deben interpretar la ausencia de acciones anunciadas como un reflejo de una fase temprana de aplicación, no como una señal de que la aplicación sea improbable.
Presentar una Queja
Los residentes de Delaware que crean que sus derechos han sido violados pueden presentar quejas ante el Departamento de Justicia en privacy@delaware.gov.

Ley de Notificación de Violaciones de Datos de Delaware
La ley de notificación de violaciones de datos de Delaware, 6 Del. C. cap. 12B, es anterior a la DPDPA y aborda un conjunto separado de obligaciones.
Qué activa la notificación. Según el § 12B-102, una "violación de seguridad" es la adquisición no autorizada de datos informatizados que compromete la seguridad, la confidencialidad o la integridad de la información personal. Los datos cifrados generalmente están excluidos, a menos que la clave de cifrado también haya sido comprometida.
La información personal bajo la ley de notificación de violaciones significa el nombre de un residente combinado con números de Seguro Social, números de licencia de conducir, números de cuentas financieras con códigos de seguridad, números de pasaporte, credenciales de inicio de sesión, información médica, identificadores de seguro de salud, datos biométricos, o números de identificación fiscal.
Plazo de notificación. Las entidades deben notificar a los residentes afectados de Delaware sin demora injustificada, y a más tardar 60 días después de determinar que ocurrió una violación. También se requiere la notificación al Fiscal General dentro de los 60 días cuando se ven afectados más de 500 residentes de Delaware.
Monitoreo de crédito. Cuando una violación involucra números de Seguro Social, la entidad afectada debe ofrecer a los residentes afectados monitoreo de crédito gratuito durante al menos un año, incluida información de inscripción y orientación sobre cómo colocar un congelamiento de crédito.
Aplicación de la ley. El Fiscal General puede emprender acciones legales contra las entidades que no cumplan y buscar daños económicos directos en nombre de los consumidores afectados.
Interacción con las Leyes Federales de Privacidad
La DPDPA se coordina con varios regímenes federales. Comprender qué ley federal rige un tipo de dato en particular es esencial para las empresas con operaciones multijurisdiccionales.
HIPAA. La información de salud protegida regida por HIPAA está exenta de la DPDPA a nivel de datos. Las entidades cubiertas y los asociados comerciales que manejan datos de salud bajo HIPAA no necesitan aplicar los requisitos de la DPDPA a esos datos específicos, aunque otros datos personales que recopilen pueden seguir estando sujetos a la ley estatal.
GLBA. Las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley están exentas a nivel de entidad. Esto es más amplio que en algunos estados: la exención cubre a toda la institución, no solo a sus datos financieros.
COPPA. La DPDPA reconoce explícitamente el cumplimiento de la COPPA. El consentimiento parental verificable obtenido bajo la COPPA satisface los requisitos de consentimiento de la DPDPA para los datos personales de menores de 13 años.
FERPA. Los registros educativos protegidos por la Family Educational Rights and Privacy Act están exentos a nivel de datos. Sin embargo, las instituciones de educación superior no están exentas a nivel de entidad. Una universidad debe cumplir con la DPDPA para los datos que no estén cubiertos por la FERPA, mientras continúa siguiendo la FERPA para los registros educativos.
FCRA. Los datos de informes del consumidor regidos por la Fair Credit Reporting Act están exentos de los requisitos de la DPDPA a nivel de datos.
Sección 5 de la Ley de la FTC. La Comisión Federal de Comercio puede actuar contra prácticas de datos engañosas o desleales de empresas de Delaware de manera independiente a la DPDPA, bajo su autoridad general para vigilar los actos y prácticas desleales o engañosos en el comercio. La aplicación de la FTC no se limita a las entidades que cumplen con los umbrales de la DPDPA.
TAKE IT DOWN Act: Prohibición Penal Federal sobre Imágenes Íntimas No Consentidas
La ley federal TAKE IT DOWN Act, Pub. L. 119-12, fue firmada por el presidente Trump el 19 de mayo de 2025. Crea una prohibición penal federal que se aplica en Delaware y en todos los demás estados.
Prohibición penal. La ley convierte en delito federal publicar o amenazar con publicar a sabiendas imágenes íntimas no consentidas (NCII, por sus siglas en inglés), incluidos los deepfakes generados por IA, de adultos o menores. Las sanciones llegan hasta dos años de prisión para las víctimas adultas y tres años para las víctimas menores.
Obligaciones de eliminación por parte de las plataformas. Las plataformas cubiertas (sitios web y aplicaciones móviles que alojan contenido generado por usuarios) deben implementar un proceso de aviso y eliminación. Al recibir un aviso válido de eliminación, una plataforma debe eliminar la imagen íntima "lo antes posible" y a más tardar 48 horas después de recibir el aviso. Esta obligación entró en vigencia el 19 de mayo de 2026. La Comisión Federal de Comercio aplica los requisitos para las plataformas.
Interacción con la ley de Delaware. Delaware ya penaliza la pornografía no consentida bajo sus propios estatutos. La TAKE IT DOWN Act agrega una capa penal federal paralela y un nuevo mecanismo de responsabilidad para las plataformas. Las empresas que operan plataformas de contenido que atienden a usuarios de Delaware deben implementar procesos de aviso y eliminación conformes.

El Papel de Delaware como Estado de Incorporación
Delaware es el estado de incorporación de más del 60% de las empresas Fortune 500 y de la mayoría de las corporaciones que cotizan en bolsa en Estados Unidos. Esto genera una consideración práctica de cumplimiento: una empresa incorporada en Delaware pero con sede en otro lugar debe determinar si realiza negocios en Delaware o produce productos y servicios dirigidos a residentes de Delaware en el sentido de la DPDPA.
La sola incorporación no genera obligaciones bajo la DPDPA. El factor determinante de jurisdicción es la actividad orientada al mercado, no la ubicación del certificado de incorporación. Una empresa incorporada en Delaware pero sin base de consumidores en Delaware ni productos dirigidos a Delaware no cumple con el requisito de aplicabilidad de la DPDPA. Por el contrario, una empresa incorporada en otro lugar que comercializa activamente a residentes de Delaware y procesa los datos de 35,000 o más de ellos sí queda dentro del alcance.
Esta distinción es particularmente relevante para las empresas en etapa inicial que se incorporan en Delaware por flexibilidad jurídica pero cuya base de clientes está enteramente fuera del estado.
Pasos de Cumplimiento para las Empresas
Las empresas que se preparan para el cumplimiento de la DPDPA o lo auditan deben trabajar a través de varios pasos fundamentales.
Evaluar la aplicabilidad. Determinar si la organización cumple con el umbral de 35,000 consumidores o con el de 10,000 consumidores más ingresos. El umbral de 35,000 excluye los datos procesados únicamente para completar transacciones de pago. Monitorear el HB 380: si el umbral baja a 15,000, repetir el análisis.
Actualizar los avisos de privacidad. La orientación del Fiscal General de Delaware es específica: los avisos deben indicar claramente que se aplican a los residentes de Delaware, usar un lenguaje sencillo y accesible, y evitar formulaciones vagas como "usted puede tener derechos". Los avisos deben ser accesibles en todos los dispositivos y adaptarse a las personas con discapacidades.
Construir flujos de trabajo para los derechos del consumidor. Establecer sistemas para recibir, autenticar y responder a las solicitudes de acceso, corrección, eliminación, portabilidad y exclusión dentro de los 45 días. El canal de respuesta debe ser coherente con la forma en que los consumidores típicamente interactúan con la empresa.
Respetar las señales GPC. Desde el 1 de enero de 2026, los controladores deben detectar y procesar las señales de Control de Privacidad Global como solicitudes de exclusión válidas para la publicidad dirigida y la venta de datos. No se puede exigir ninguna acción adicional al consumidor.
Auditar las prácticas de datos sensibles. Mapear toda la recopilación de datos frente a las categorías de datos sensibles de la DPDPA, incluidas las categorías específicas de Delaware del estatus transgénero o no binario y la ciudadanía o el estatus migratorio. Implementar flujos de trabajo de consentimiento de inclusión para cualquier procesamiento de datos sensibles.
Completar las evaluaciones de protección de datos. Si la organización procesa los datos de 100,000 o más consumidores y participa en publicidad dirigida, venta de datos, elaboración de perfiles, o procesamiento de datos sensibles, realizar las evaluaciones requeridas documentando el análisis de beneficios frente a riesgos y las salvaguardas.
Sumar el cumplimiento de la DOPPA. Si la organización opera un sitio web o aplicación que recopila información personal de residentes de Delaware, publicar una política de privacidad conforme. Si el servicio está dirigido a usuarios menores de 18 años o atiende a escuelas K-12, aplicar las restricciones de marketing y las protecciones de datos estudiantiles de la DOPPA además del cumplimiento de la DPDPA.
Implementar los procesos de la TAKE IT DOWN Act. Si la organización opera una plataforma que aloja contenido generado por usuarios, implementar un proceso de aviso y eliminación para las imágenes íntimas no consentidas y los deepfakes. La obligación para las plataformas entró en vigencia el 19 de mayo de 2026.
Cómo Pueden los Residentes de Delaware Ejercer Sus Derechos
Los residentes de Delaware pueden ejercer sus derechos bajo la DPDPA contactando directamente a cualquier controlador cubierto. Los controladores deben proporcionar al menos un mecanismo coherente con sus canales normales de interacción con el consumidor.
Si un controlador deniega una solicitud de derechos, los consumidores pueden apelar la denegación. Los controladores deben mantener un proceso de apelación y deben responder a las apelaciones dentro de los 60 días.
Los consumidores que crean que sus derechos han sido violados y no pudieron resolver el problema directamente con el controlador pueden presentar una queja ante el equipo de privacidad del Departamento de Justicia de Delaware en privacy@delaware.gov o a través del Portal de Privacidad de Datos Personales.
Guías Detalladas
- ¿Qué Es la DPDPA? La Ley de Privacidad de Datos Personales de Delaware
- Derechos del Consumidor bajo la DPDPA: Sus Derechos de Privacidad de Datos
- Lista de Verificación de Cumplimiento de la DPDPA para Empresas (2026)
Más Leyes de Delaware
- Leyes de Grabación de Reuniones con IA de Delaware
- Leyes de Pensión Alimenticia Conyugal de Delaware
- Leyes de Empleo a Voluntad de Delaware
- Leyes de Accidentes de Auto de Delaware
- Leyes de Asientos de Auto para Niños de Delaware
- Leyes de Custodia de Menores de Delaware
- Leyes de Manutención Infantil de Delaware
- Leyes de Matrimonio de Hecho de Delaware
- Leyes sobre Deepfakes de Delaware
- Leyes de Divorcio de Delaware
- Leyes sobre Mordeduras de Perro de Delaware
- Leyes de Emancipación de Delaware
- Leyes de Eliminación de Antecedentes Penales de Delaware
- Leyes de Choque y Fuga de Delaware
- Leyes de Propietarios e Inquilinos de Delaware
- Leyes del Limón de Delaware
Este artículo presenta información legal general sobre las leyes de privacidad de datos de Delaware. No constituye asesoría legal. La DPDPA, la DOPPA y la ley de notificación de violaciones de Delaware están sujetas a enmiendas legislativas, orientación del Fiscal General e interpretación judicial. La TAKE IT DOWN Act federal y otros estatutos federales aquí descritos están igualmente sujetos a cambios en la implementación regulatoria y en la política de aplicación. Consulte a un abogado calificado con licencia en Delaware para obtener asesoría específica sobre su situación. Información verificada por última vez: mayo de 2026.
Preguntas frecuentes
¿Se aplica la DPDPA a las pequeñas empresas en Delaware?
La DPDPA se aplica según el volumen de procesamiento de datos, no únicamente según el tamaño de la empresa o los ingresos anuales. Si su empresa controló o procesó los datos personales de al menos 35,000 consumidores de Delaware en el año calendario anterior, debe cumplir sin importar el tamaño de la empresa. El umbral de 35,000 excluye los datos procesados únicamente para completar transacciones de pago. Si procesa los datos de al menos 10,000 consumidores y deriva más del 20% de los ingresos brutos de la venta de datos personales, también debe cumplir. Muchas pequeñas empresas que no alcanzan estos umbrales no estarán cubiertas. Si se promulga el HB 380 pendiente, el umbral principal bajaría a 15,000 consumidores.
¿Cómo maneja Delaware las señales de exclusión universal como el Control de Privacidad Global?
Desde el 1 de enero de 2026 (ya en vigor), los controladores sujetos a la DPDPA deben reconocer y respetar las señales de preferencia de exclusión universal como el Control de Privacidad Global (GPC). Cuando un consumidor usa un navegador o una extensión que envía una señal GPC, el controlador debe tratarla como una solicitud de exclusión válida para la publicidad dirigida y la venta de datos. Los controladores no pueden exigir pasos adicionales de verificación ni ignorar la señal. Esto alinea a Delaware con California, Colorado, Connecticut y Montana, que también exigen el reconocimiento del GPC.
¿Qué hace diferente la definición de datos sensibles de Delaware respecto a otros estados?
La definición de datos sensibles de Delaware es una de las más amplias del país. Además de las categorías estándar como el origen racial, los datos de salud, los datos biométricos y la geolocalización precisa, la DPDPA incluye específicamente el estatus transgénero o no binario y la ciudadanía o el estatus migratorio. Solo Oregon incluye categorías similares. Las empresas deben obtener consentimiento de inclusión antes de procesar datos que revelen si una persona es transgénero, no binaria, o no ciudadana. El HB 380 pendiente ampliaría aún más la definición, agregando potencialmente información de salud reproductiva y ciertos datos financieros.
¿Pueden los residentes de Delaware demandar a las empresas que violan la DPDPA?
No. La DPDPA no incluye un derecho de acción privada. Solo el Fiscal General de Delaware puede hacer cumplir la ley. Los consumidores que crean que sus derechos han sido violados deben presentar una queja ante el Departamento de Justicia de Delaware en privacy@delaware.gov. El Fiscal General puede buscar sanciones civiles de hasta $10,000 por infracción, medidas cautelares, y restitución en nombre de los consumidores afectados. El período obligatorio de subsanación de 60 días venció el 31 de diciembre de 2025, por lo que el Fiscal General ahora tiene la facultad discrecional de decidir si extiende una oportunidad de subsanación antes de iniciar una acción formal de aplicación.
¿Se aplica la DPDPA a las organizaciones sin fines de lucro y a las universidades?
Sí, y esta es una de las características más distintivas de la DPDPA. La mayoría de las leyes estatales de privacidad eximen por completo a las organizaciones sin fines de lucro. La ley de Delaware se aplica a las organizaciones 501(c)(3), 501(c)(4), 501(c)(6) y 501(c)(12) si cumplen con los umbrales de aplicabilidad. Solo existen excepciones limitadas para las organizaciones sin fines de lucro dedicadas exclusivamente a la prevención del fraude de seguros y aquellas que atienden a víctimas de violencia doméstica, agresión sexual o tráfico de personas. Las instituciones de educación superior están cubiertas porque quedan fuera de la exención para entidades gubernamentales. Solo Colorado y Oregon tienen una cobertura de organizaciones sin fines de lucro igualmente amplia entre las leyes estatales integrales de privacidad.
¿Cuál es el plazo de notificación de violaciones de datos de Delaware?
Según 6 Del. C. § 12B-102, las entidades deben notificar a los residentes afectados de Delaware sin demora injustificada, y a más tardar 60 días después de descubrir una violación que cumpla los requisitos. Si se ven afectados más de 500 residentes de Delaware, la entidad también debe notificar al Fiscal General de Delaware dentro del mismo plazo de 60 días. Cuando la violación involucra números de Seguro Social, la entidad debe ofrecer a los residentes afectados al menos un año de servicios gratuitos de monitoreo de crédito y proporcionar instrucciones para colocar un congelamiento de crédito.
¿Mi empresa debe cumplir con la DPDPA solo porque está incorporada en Delaware?
No. La sola incorporación en Delaware no genera obligaciones de cumplimiento bajo la DPDPA. El factor determinante de jurisdicción es la actividad orientada al mercado: realizar negocios en Delaware o producir productos y servicios dirigidos a residentes de Delaware. Una empresa incorporada en Delaware pero sin base de consumidores en Delaware ni ofertas dirigidas a Delaware no cumple con el requisito de aplicabilidad. Una empresa incorporada en otro lugar que comercializa activamente a residentes de Delaware y procesa los datos de 35,000 o más de ellos sí queda dentro del alcance.
¿Qué es la TAKE IT DOWN Act y se aplica en Delaware?
La TAKE IT DOWN Act, Pub. L. 119-12, es una ley federal firmada el 19 de mayo de 2025 que se aplica a nivel nacional, incluido Delaware. Crea una prohibición penal federal sobre publicar o amenazar con publicar a sabiendas imágenes íntimas no consentidas (incluidos los deepfakes generados por IA) de adultos o menores. Las sanciones penales llegan hasta dos años de prisión para las víctimas adultas y tres años para las menores. Las plataformas que alojan contenido generado por usuarios deben implementar un proceso de aviso y eliminación vigente desde el 19 de mayo de 2026, eliminando las imágenes señaladas dentro de las 48 horas posteriores a un aviso válido. La FTC aplica los requisitos para las plataformas.
Fuentes y referencias
- Ley de Privacidad de Datos Personales de Delaware - 6 Del. C. cap. 12D(delcode.delaware.gov).gov
- Detalle del Proyecto de Ley HB 154 - Asamblea General de Delaware(legis.delaware.gov).gov
- Portal de Privacidad de Datos Personales del Fiscal General de Delaware(attorneygeneral.delaware.gov).gov
- Portal de Privacidad de Datos Personales del Fiscal General de Delaware - Preguntas Frecuentes(attorneygeneral.delaware.gov).gov
- La Fiscal General Jennings Anuncia Nuevos Derechos de Privacidad de Datos(news.delaware.gov).gov
- La Fiscal General Jennings Publica Consejos de Privacidad de Datos - Noticias de Delaware(news.delaware.gov).gov
- La Fiscal General Jennings Lanza el Portal de la DPDPA - Noticias de Delaware(news.delaware.gov).gov
- Carta de Aviso de Implementación de la DPDPA - Fiscal General de Delaware(attorneygeneral.delaware.gov).gov
- Ley de Notificación de Violaciones de Datos de Delaware - 6 Del. C. cap. 12B(delcode.delaware.gov).gov
- Portal del Fiscal General - Notificación de Violaciones de Seguridad(attorneygeneral.delaware.gov).gov
- Delaware Online Privacy and Protection Act - 6 Del. C. cap. 12C(delcode.delaware.gov).gov
- Detalle del Proyecto de Ley HB 380 - Asamblea General de Delaware(legis.delaware.gov).gov
- TAKE IT DOWN Act - S. 146, 119.º Congreso(congress.gov).gov
- Regla COPPA de la FTC(ftc.gov).gov