Delaware
Lista de Verificación de Cumplimiento de la DPDPA: Privacidad de Delaware

Cumplir con la Ley de Privacidad de Datos Personales de Delaware (DPDPA), Del. Code tit. 6, cap. 12D, comienza con la prueba de aplicabilidad en el § 12D-103: una empresa está cubierta si, en el año anterior, controló o procesó datos personales de 35,000 o más consumidores de Delaware, o de 10,000 o más consumidores mientras obtenía más del 20 por ciento de sus ingresos brutos de la venta de datos. Las empresas cubiertas deben publicar un aviso de privacidad conforme, respetar los derechos de los consumidores, obtener el consentimiento expreso antes de procesar datos sensibles, reconocer una señal universal de exclusión a partir del 1 de enero de 2026, y realizar evaluaciones de protección de datos para el procesamiento de mayor riesgo.
A partir de 2026, el Departamento de Justicia de Delaware hace cumplir la ley y una infracción puede conllevar sanciones civiles de hasta $10,000 por infracción. El período de subsanación de 60 días venció el 31 de diciembre de 2025, por lo que las empresas ya no pueden contar con una ventana garantizada para corregir problemas antes de que comience la aplicación de la ley. Esta lista de verificación recorre los pasos prácticos en el orden de las secciones.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos Personales de Delaware (Del. Code tit. 6, cap. 12D). Es información legal general, no asesoría legal.
Paso 1: Realice la prueba de aplicabilidad de umbral bajo
Comience con el § 12D-103. La DPDPA se aplica a toda persona que realiza negocios en Delaware, o que produce productos o servicios dirigidos a residentes de Delaware, y que en el año calendario anterior cumplió con uno de dos umbrales.
El primer umbral es controlar o procesar los datos personales de al menos 35,000 consumidores, excluyendo los datos controlados o procesados únicamente para completar una transacción de pago. El segundo es controlar o procesar los datos personales de al menos 10,000 consumidores mientras se obtiene más del 20 por ciento de los ingresos brutos de la venta de datos personales.
Debido a que no existe un piso de ingresos en dólares y el conteo de consumidores está entre los más bajos a nivel nacional, muchas empresas medianas y pequeñas están cubiertas. Cuente a los consumidores residentes de Delaware a lo largo de todo el año calendario anterior, no en una instantánea puntual, y recuerde que la exclusión de solo pagos reduce pero no elimina el conteo para las empresas que recopilan más que datos meramente transaccionales.
Paso 2: Verifique la cuestión de cobertura de organizaciones sin fines de lucro y educación superior
La estructura de exenciones de Delaware es inusual, por lo que este paso merece su propio análisis. Conforme al § 12D-103, la única exclusión para organizaciones sin fines de lucro es para una organización dedicada exclusivamente a prevenir y abordar el fraude de seguros. Cualquier otra organización sin fines de lucro que cumpla con los umbrales generalmente está cubierta, y el Departamento de Justicia de Delaware ha confirmado públicamente que la ley se aplica tanto a empresas con fines de lucro como sin ellos.
Las instituciones de educación superior también están cubiertas. La Sección 12D-103 exime a los organismos gubernamentales estatales y locales de Delaware, pero excluye expresamente a las instituciones de educación superior de esa exención, por lo que las universidades y colegios quedan bajo la ley.
La conclusión práctica: no asuma que el estatus de organización sin fines de lucro o la categoría institucional lo excluye de la DPDPA. Una organización benéfica, un grupo de defensa, una asociación o una universidad que cumpla con los umbrales debe ejecutar el programa de cumplimiento completo. Confirme únicamente que no está dentro de la estrecha exclusión para organizaciones sin fines de lucro dedicadas al fraude de seguros o de una exención a nivel de datos como HIPAA, GLBA, FCRA o FERPA.
Paso 3: Publique un aviso de privacidad conforme
Los controladores cubiertos deben proporcionar a los consumidores un aviso de privacidad razonablemente accesible, claro y significativo conforme al § 12D-106. El aviso debe divulgar las categorías de datos personales que procesa el controlador, el propósito del procesamiento, cómo pueden los consumidores ejercer sus derechos y apelar una decisión, las categorías de datos personales que el controlador comparte con terceros, y las categorías de esos terceros.
El aviso también debe describir cómo puede un consumidor enviar una solicitud, incluidos, cuando corresponda, los métodos de exclusión para publicidad dirigida, la venta de datos personales y la elaboración de perfiles. Si el controlador vende datos personales a terceros o procesa datos para publicidad dirigida, debe divulgar esa actividad de forma clara y visible y explicar cómo excluirse.
Revise el aviso contra los flujos de datos reales. Un aviso que omite una categoría de datos o una relación de intercambio es una brecha de cumplimiento, y las categorías divulgadas en el aviso deben coincidir con lo que el controlador está preparado para reportar en respuesta a una solicitud de categorías de terceros conforme al § 12D-104(a)(5).

Paso 4: Desarrolle flujos de trabajo para solicitudes de derechos y apelaciones
Establezca canales de recepción para los derechos de los consumidores en el § 12D-104(a), incluidos el acceso, la corrección, la eliminación, la portabilidad, la lista de categorías de terceros y las exclusiones. Autentique las solicitudes usando métodos comercialmente razonables, y recuerde que un controlador no está obligado a cumplir con una solicitud que no puede autenticar, pero puede pedir información para hacerlo.
Diseñe el flujo de trabajo para cumplir con el plazo de respuesta de 45 días del § 12D-104(c)(1), con la única extensión permitida de 45 días documentada y comunicada dentro de los primeros 45 días. Proporcione respuestas gratuitas hasta dos veces al año por consumidor.
Desarrolle el proceso de apelación exigido por el § 12D-104(d) para que sea visible y similar al proceso de la solicitud original, con una respuesta de apelación de 60 días y, en caso de denegación, un método para que el consumidor presente una queja ante el Departamento de Justicia de Delaware.
Paso 5: Obtenga el consentimiento expreso para datos sensibles y datos de adolescentes
Los datos sensibles son una barrera estricta. Conforme al § 12D-106(a)(4), un controlador no puede procesar datos sensibles sin el consentimiento expreso del consumidor, y para un niño conocido debe obtener el consentimiento de los padres y manejar los datos de forma congruente con la ley de privacidad infantil.
La definición de datos sensibles en el § 12D-102(30) es amplia. Incluye datos que revelan el origen racial o étnico, las creencias religiosas, la condición o el diagnóstico de salud mental o física incluido el embarazo, la vida sexual, la orientación sexual, el estatus como persona transgénero o no binaria, el estatus de ciudadanía y el estatus migratorio, además de datos genéticos o biométricos, los datos de un niño conocido y la geolocalización precisa. Haga un inventario de si procesa alguno de estos datos, y si lo hace, canalícelo a través de un mecanismo de consentimiento válido que cumpla con la definición de consentimiento de Delaware.
Añada la regla de adolescentes del § 12D-106(a)(7). Cuando tenga conocimiento real, o ignore deliberadamente, que un consumidor tiene al menos 13 pero menos de 18 años, no puede usar esos datos para publicidad dirigida ni venderlos sin consentimiento. Integre señales de edad en el flujo de consentimiento para que los adolescentes conocidos sean tratados como de consentimiento expreso para esas actividades.
Paso 6: Reconozca el mecanismo universal de exclusión antes del 1 de enero de 2026
Si procesa datos personales para publicidad dirigida o vende datos personales, debe respetar una señal universal de preferencia de exclusión conforme al § 12D-106(e) a partir del 1 de enero de 2026. Eso significa detectar y respetar una señal como el Control de Privacidad Global enviada automáticamente por el navegador o dispositivo de un consumidor.
A partir de 2026, este requisito está vigente. Verifique que su sitio y aplicaciones lean la señal, apliquen la exclusión a las actividades de procesamiento correctas y conserven la elección. Documente el método técnico que usa para detectar y respetar la señal para poder demostrar el cumplimiento.
Cuando una señal reconocida entra en conflicto con una elección que el consumidor hizo afirmativamente, puede notificar al consumidor y pedirle que confirme la elección en conflicto, pero en ausencia de esa confirmación una señal reconocida debe tratarse como una exclusión válida.

Paso 7: Realice evaluaciones de protección de datos y firme contratos con encargados del tratamiento
Dos obligaciones estructurales completan el programa. Primero, conforme al § 12D-108, un controlador que controla o procesa los datos personales de no menos de 100,000 consumidores debe realizar y documentar una evaluación de protección de datos para cada actividad de procesamiento que presente un riesgo elevado de daño. Eso incluye el procesamiento para publicidad dirigida, la venta de datos personales, la elaboración de perfiles que presente un riesgo razonablemente previsible de trato injusto o engañoso u otro perjuicio sustancial, y el procesamiento de datos sensibles.
Mantenga las evaluaciones actualizadas y archivadas. El Departamento de Justicia de Delaware puede exigir que un controlador divulgue una evaluación de protección de datos relevante en relación con una investigación, por lo que deben redactarse para poder presentarse.
Segundo, conforme al § 12D-107, toda relación con un encargado del tratamiento debe regirse por un contrato que establezca las instrucciones de procesamiento, los deberes de confidencialidad, la eliminación o devolución de datos, y la cooperación en auditorías, y que traslade las obligaciones a los subcontratistas. Revise los acuerdos con proveedores contra esta lista y actualice cualquiera que sea anterior a la DPDPA.
Paso 8: Planifique la aplicación de la ley ahora que venció el período de subsanación
Las apuestas de cumplimiento aumentaron en 2026 porque venció el período de subsanación. Conforme al § 12D-111, el Departamento de Justicia de Delaware tiene autoridad exclusiva de aplicación, y no existe un derecho de acción privado conforme al § 12D-111(d). Una infracción se trata como una práctica ilegal y puede conllevar sanciones civiles de hasta $10,000 por infracción.
Durante 2025, el Departamento estaba obligado a dar a un controlador un aviso de infracción y 60 días para subsanarla antes de iniciar una acción cuando la subsanación fuera posible. Ese derecho obligatorio de subsanación venció el 31 de diciembre de 2025. A partir del 1 de enero de 2026, cualquier oportunidad de subsanación es discrecional y se sopesa contra factores estatutarios como el número de infracciones, el tamaño del controlador y la probabilidad sustancial de perjuicio público.
La consecuencia práctica es que, a partir de 2026, una empresa no puede asumir que obtendrá una ventana gratuita de corrección. La postura correcta es operar como si cada brecha fuera directamente accionable: mantenga el aviso de privacidad preciso, los flujos de trabajo de derechos dentro del plazo, el consentimiento vigente para datos sensibles y de adolescentes, la exclusión universal respetada, y las evaluaciones y contratos con encargados del tratamiento documentados y listos para presentarse.
Lista de verificación de cumplimiento de un vistazo
| Paso | Estatuto | Qué hacer |
|---|---|---|
| Prueba de aplicabilidad | § 12D-103 | 35,000 consumidores, o 10,000 más 20% de ingresos por venta de datos |
| Verificación de organización sin fines de lucro / universidad | § 12D-103 | La mayoría de las organizaciones sin fines de lucro y todas las universidades están cubiertas |
| Aviso de privacidad | § 12D-106 | Divulgar datos, propósitos, uso compartido, exclusiones |
| Derechos y apelaciones | § 12D-104 | Respuesta de 45 días, apelación de 60 días |
| Consentimiento para datos sensibles y de adolescentes | § 12D-106(a)(4), (a)(7) | Consentimiento expreso para datos sensibles y publicidad/venta a adolescentes |
| Exclusión universal | § 12D-106(e) | Respetar el Control de Privacidad Global antes del 1 de enero de 2026 |
| Evaluaciones y contratos | § 12D-108, § 12D-107 | Evaluar el procesamiento de mayor riesgo; firmar contratos con encargados del tratamiento |
| Preparación para la aplicación de la ley | § 12D-111 | Sin garantía de subsanación; hasta $10,000 por infracción |
Más Leyes de Delaware
- Leyes de Grabación de Reuniones con IA de Delaware
- Leyes de Pensión Alimenticia de Delaware
- Leyes de Empleo a Voluntad de Delaware
- Leyes de Accidentes Automovilísticos de Delaware
- Leyes de Asientos de Seguridad para Niños de Delaware
- Leyes de Custodia de Menores de Delaware
- Leyes de Manutención Infantil de Delaware
- Leyes de Matrimonio de Hecho de Delaware
- Leyes sobre Deepfakes de Delaware
- Leyes de Divorcio de Delaware
- Leyes sobre Mordeduras de Perro de Delaware
- Leyes de Emancipación de Delaware
- Leyes de Eliminación de Antecedentes Penales de Delaware
- Leyes de Atropello y Fuga de Delaware
- Leyes de Propietarios e Inquilinos de Delaware
- Leyes del Limón de Delaware
Guías relacionadas
Preguntas frecuentes
¿Mi empresa tiene que cumplir con la DPDPA?
Conforme a la sección 12D-103, debe cumplir si realiza negocios en Delaware o se dirige a residentes de Delaware y, en el año calendario anterior, controló o procesó los datos personales de al menos 35,000 consumidores (excluyendo los datos exclusivamente de pago), o de al menos 10,000 consumidores mientras obtenía más del 20 por ciento de los ingresos brutos de la venta de datos personales. No hay un piso de ingresos en dólares, por lo que el umbral alcanza a muchas empresas medianas y pequeñas.
¿La DPDPA se aplica a organizaciones sin fines de lucro y universidades?
Generalmente sí. Conforme a la sección 12D-103, la única exención para organizaciones sin fines de lucro es para una dedicada exclusivamente a prevenir y abordar el fraude de seguros, y las instituciones de educación superior están expresamente excluidas de la exención para organismos gubernamentales, lo que significa que las universidades están cubiertas. La mayoría de las organizaciones sin fines de lucro y todas las universidades que cumplan los umbrales deben cumplir.
¿Qué debe incluir un aviso de privacidad de la DPDPA?
Conforme a la sección 12D-106, el aviso debe divulgar las categorías de datos personales procesados, los propósitos del procesamiento, cómo ejercen los consumidores sus derechos y apelan, las categorías de datos compartidos con terceros, y las categorías de esos terceros. Si vende datos o realiza publicidad dirigida, debe divulgarlo claramente y explicar cómo excluirse.
¿Cuándo debo respetar una señal universal de exclusión en Delaware?
A partir del 1 de enero de 2026. Conforme a la sección 12D-106(e), un controlador que procesa datos para publicidad dirigida o vende datos personales debe reconocer una señal universal de preferencia de exclusión, como el Control de Privacidad Global, enviada por el navegador o dispositivo de un consumidor. Debe verificar que sus sistemas detecten, apliquen y conserven la señal.
¿Cuándo necesito una evaluación de protección de datos bajo la DPDPA?
Conforme a la sección 12D-108, un controlador que controla o procesa los datos personales de al menos 100,000 consumidores debe realizar y documentar una evaluación de protección de datos para el procesamiento de mayor riesgo, incluida la publicidad dirigida, la venta de datos personales, cierta elaboración de perfiles y el procesamiento de datos sensibles. El Departamento de Justicia de Delaware puede exigir la divulgación de una evaluación relevante durante una investigación.
¿Todavía existe un derecho de subsanación bajo la DPDPA?
No como una garantía. Conforme a la sección 12D-111, el Departamento de Justicia de Delaware estaba obligado a otorgar una oportunidad de subsanación de 60 días durante 2025 cuando la subsanación fuera posible, pero ese derecho obligatorio de subsanación venció el 31 de diciembre de 2025. A partir del 1 de enero de 2026, cualquier oportunidad de subsanación es discrecional y se sopesa contra factores estatutarios, por lo que las empresas no deben contar con un período de gracia.
¿Cuáles son las sanciones por violar la DPDPA?
El Departamento de Justicia de Delaware hace cumplir la DPDPA conforme a la sección 12D-111, y una infracción se trata como una práctica ilegal que puede conllevar sanciones civiles de hasta $10,000 por infracción. No existe un derecho de acción privado conforme a la sección 12D-111(d), por lo que solo el Departamento de Justicia puede iniciar una acción de cumplimiento.
¿Qué contratos necesito con mis encargados del tratamiento de datos?
Conforme a la sección 12D-107, toda relación con un encargado del tratamiento debe regirse por un contrato que establezca las instrucciones de procesamiento, las obligaciones de confidencialidad, la eliminación o devolución de datos al finalizar los servicios, la cooperación con evaluaciones y auditorías, y el traslado de las mismas obligaciones a los subcontratistas. Los acuerdos con proveedores anteriores a la DPDPA deben revisarse y actualizarse para incluir estos términos.
Fuentes y referencias
- Del. Code tit. 6, cap. 12D: Ley de Privacidad de Datos Personales de Delaware (Capítulo Completo)(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-103: Aplicabilidad y Exenciones(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-104: Derechos de Datos Personales de los Consumidores(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-106: Responsabilidades de los Controladores(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-107: Deberes de los Encargados del Tratamiento(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-108: Evaluaciones de Protección de Datos(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-111: Aplicación por el Departamento de Justicia(delcode.delaware.gov).gov
- Departamento de Justicia de Delaware: Preguntas Frecuentes de la Ley de Privacidad de Datos Personales(attorneygeneral.delaware.gov).gov