Delaware
Derechos del Consumidor bajo la DPDPA: Privacidad de Datos de Delaware

Conforme a la Ley de Privacidad de Datos Personales de Delaware (DPDPA), Del. Code tit. 6, cap. 12D, un residente de Delaware puede confirmar si una empresa está procesando sus datos personales y acceder a ellos, corregir inexactitudes, eliminar datos, obtener una copia portátil, obtener una lista de las categorías de terceros que recibieron sus datos, y excluirse de la publicidad dirigida, la venta de datos personales y cierta elaboración de perfiles. Estos derechos, sobre los derechos de los consumidores bajo la DPDPA de Delaware, se establecen en el § 12D-104(a) y entraron en vigor el 1 de enero de 2025.
Un controlador debe responder a una solicitud de derechos dentro de 45 días conforme al § 12D-104(c), con una extensión de 45 días cuando sea razonablemente necesario, y debe ofrecer un proceso de apelación conforme al § 12D-104(d). A partir del 1 de enero de 2026, los controladores también deben respetar una señal universal de preferencia de exclusión, como el Control de Privacidad Global, conforme al § 12D-106(e). El Departamento de Justicia de Delaware hace cumplir estos derechos, y no existe un derecho de acción privado.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos Personales de Delaware (Del. Code tit. 6, cap. 12D). Es información legal general, no asesoría legal.
Los cinco derechos fundamentales sobre los datos
La DPDPA otorga a los consumidores de Delaware un conjunto completo de derechos de datos en el § 12D-104(a). Estos derechos se aplican a los controladores cubiertos, es decir, a las empresas que cumplen con los umbrales de aplicabilidad del § 12D-103.
El derecho de acceso, en el § 12D-104(a)(1), permite a un consumidor confirmar si un controlador está procesando sus datos personales y acceder a ellos. El derecho de corrección, en el § 12D-104(a)(2), permite a un consumidor corregir inexactitudes, tomando en cuenta la naturaleza de los datos personales y los propósitos del procesamiento.
El derecho de eliminación, en el § 12D-104(a)(3), es amplio: un consumidor puede eliminar los datos personales proporcionados por el consumidor u obtenidos sobre el consumidor. Eso va más allá de los datos que el consumidor proporcionó directamente hasta los datos que la empresa obtuvo de otras fuentes. El derecho de portabilidad de datos, en el § 12D-104(a)(4), permite a un consumidor obtener una copia de sus datos personales en un formato portátil y, en la medida técnicamente factible, fácilmente utilizable.
Para conocer todas las obligaciones del controlador detrás de estos derechos, consulte la página principal de leyes de privacidad de datos de Delaware.
El derecho a la lista de categorías de terceros
Un derecho distintivo de la DPDPA permite a los consumidores ver hacia dónde han viajado sus datos. Conforme al § 12D-104(a)(5), un consumidor puede obtener una lista de las categorías de terceros a los que el controlador ha divulgado los datos personales del consumidor.
Esta es una divulgación a nivel de categoría. Un controlador divulga grupos de destinatarios, como redes publicitarias, proveedores de análisis o procesadores de pagos, en lugar de cada empresa individualmente nombrada. Aun así, brinda a los consumidores una visión estructurada del intercambio de datos del controlador y obliga a las empresas a rastrear y mantener sus categorías de divulgación.
Para responder a estas solicitudes con precisión, un controlador necesita un mapa de datos que registre qué categorías de proveedores y socios reciben qué datos. Las empresas que no han inventariado su intercambio de datos con terceros tendrán dificultades para responder dentro del plazo legal.
Los tres derechos de exclusión
La sección 12D-104(a)(6) otorga a los consumidores tres derechos de exclusión. Conforme al § 12D-104(a)(6)(a), un consumidor puede excluirse del procesamiento de datos personales con fines de publicidad dirigida. Conforme al § 12D-104(a)(6)(b), un consumidor puede excluirse de la venta de datos personales. Conforme al § 12D-104(a)(6)(c), un consumidor puede excluirse de la elaboración de perfiles en apoyo de decisiones exclusivamente automatizadas que produzcan efectos legales o de importancia similar.
La exclusión de elaboración de perfiles es intencionalmente limitada. Alcanza las decisiones automatizadas con efectos legales o de importancia similar, como decisiones que afectan el acceso a servicios financieros, vivienda, empleo o resultados similares. La personalización rutinaria de anuncios que no produce esos efectos cae, en cambio, bajo la exclusión de publicidad dirigida.
La definición de "venta" de Delaware es amplia. Cubre el intercambio de datos personales por consideración monetaria u otra consideración valiosa, lo que significa que el intercambio de datos que produce valor no monetario también puede contar como una venta y activar la exclusión.

Plazos de respuesta, extensiones y autenticación
Un controlador debe responder a una solicitud de derechos del consumidor con prontitud. Conforme al § 12D-104(c)(1), el controlador debe responder sin demora injustificada y en todo caso a más tardar 45 días después de recibir la solicitud. El controlador puede extender ese período por 45 días adicionales cuando sea razonablemente necesario, considerando la complejidad y el número de solicitudes, siempre que informe al consumidor de la extensión y el motivo dentro de la ventana inicial de 45 días.
Si un controlador se niega a actuar, debe informar al consumidor por qué dentro de ese período de respuesta y explicar cómo apelar. Un controlador puede negarse a actuar sobre una solicitud que no puede autenticar mediante esfuerzos comercialmente razonables, y en esa situación no está obligado a cumplir pero puede pedir al consumidor información razonablemente necesaria para autenticar la solicitud.
Las respuestas generalmente deben proporcionarse de forma gratuita, hasta dos veces al año por consumidor. Si las solicitudes son manifiestamente infundadas, excesivas o repetitivas, el controlador puede cobrar una tarifa razonable o negarse a actuar, y tiene la carga de demostrar ese carácter.
El proceso de apelación
La DPDPA exige que los controladores desarrollen una vía de apelación para los consumidores cuyas solicitudes sean denegadas. Conforme al § 12D-104(d), un controlador debe establecer un proceso para que un consumidor apele la negativa del controlador a actuar sobre una solicitud. El proceso de apelación debe estar disponible de forma visible y ser similar al proceso para enviar la solicitud original.
Dentro de los 60 días posteriores a recibir una apelación, el controlador debe informar al consumidor por escrito de cualquier acción tomada o no tomada en respuesta, junto con una explicación escrita de las razones. Si el controlador deniega la apelación, también debe proporcionar al consumidor una forma de contactar al Departamento de Justicia de Delaware para presentar una queja.
Esa remisión al regulador es un respaldo práctico. Un consumidor que cree que un controlador denegó incorrectamente una solicitud de derechos puede escalar el asunto al ente de aplicación de la ley en lugar de depender únicamente de la revisión interna del controlador.

El mecanismo universal de exclusión, vigente desde el 1 de enero de 2026
Delaware exige que los controladores respeten una señal de exclusión a nivel de navegador o dispositivo. Conforme al § 12D-106(e), a más tardar el 1 de enero de 2026, un controlador que procesa datos personales para publicidad dirigida o vende datos personales debe permitir que los consumidores se excluyan mediante una señal de preferencia de exclusión enviada por una plataforma, tecnología o mecanismo, como el Control de Privacidad Global.
El mecanismo universal de exclusión permite que un consumidor configure una sola señal en su navegador o dispositivo que comunica automáticamente una exclusión a cada sitio que visita, en lugar de hacer clic en un enlace de exclusión en cada uno. A partir de 2026, este requisito está en vigor, por lo que las empresas cubiertas deben detectar y respetar la señal.
Cuando la señal entra en conflicto con una configuración que el consumidor eligió afirmativamente, la ley permite que el controlador notifique al consumidor y le permita confirmar la elección en conflicto, pero el valor predeterminado es tratar una señal reconocida como una exclusión válida.
Protecciones para adolescentes de 13 a 17 años
La DPDPA añade una protección para menores de mayor edad que va más allá del consentimiento expreso general para los datos de niños. Conforme al § 12D-106(a)(7), cuando un controlador tenga conocimiento real, o ignore deliberadamente, que un consumidor tiene al menos 13 pero menos de 18 años, el controlador no puede procesar los datos personales de ese consumidor con fines de publicidad dirigida, ni vender esos datos personales, sin el consentimiento del consumidor.
Esto cambia el valor predeterminado para el rango de edad de 13 a 17 años, de exclusión a consentimiento expreso para la publicidad dirigida y la venta. Una empresa que sabe que un usuario es adolescente, o que ignora señales claras de ello, no puede confiar en que el adolescente no se haya excluido. Debe obtener primero el consentimiento afirmativo.
Esto es distinto de la regla para niños conocidos menores de 13 años, cuyos datos sensibles y datos personales se rigen por los requisitos de consentimiento del § 12D-106(a)(4) y la ley federal relacionada de privacidad infantil.
Derechos y plazos de un vistazo
| Derecho o paso | Estatuto | Detalle clave |
|---|---|---|
| Acceso | § 12D-104(a)(1) | Confirmar y acceder a los datos personales |
| Corrección | § 12D-104(a)(2) | Corregir inexactitudes |
| Eliminación | § 12D-104(a)(3) | Datos proporcionados por el consumidor u obtenidos sobre él |
| Portabilidad | § 12D-104(a)(4) | Copia portátil y fácilmente utilizable |
| Lista de categorías de terceros | § 12D-104(a)(5) | Categorías de terceros que recibieron los datos |
| Exclusión de anuncios, venta, elaboración de perfiles | § 12D-104(a)(6) | Publicidad dirigida, venta, elaboración de perfiles de efecto significativo |
| Plazo de respuesta | § 12D-104(c)(1) | 45 días, más una extensión de 45 días |
| Respuesta a la apelación | § 12D-104(d) | 60 días, con remisión de queja al Departamento de Justicia |
| Señal universal de exclusión | § 12D-106(e) | Exigida a partir del 1 de enero de 2026 |
Más Leyes de Delaware
- Leyes de Grabación de Reuniones con IA de Delaware
- Leyes de Pensión Alimenticia de Delaware
- Leyes de Empleo a Voluntad de Delaware
- Leyes de Accidentes Automovilísticos de Delaware
- Leyes de Asientos de Seguridad para Niños de Delaware
- Leyes de Custodia de Menores de Delaware
- Leyes de Manutención Infantil de Delaware
- Leyes de Matrimonio de Hecho de Delaware
- Leyes sobre Deepfakes de Delaware
- Leyes de Divorcio de Delaware
- Leyes sobre Mordeduras de Perro de Delaware
- Leyes de Emancipación de Delaware
- Leyes de Eliminación de Antecedentes Penales de Delaware
- Leyes de Atropello y Fuga de Delaware
- Leyes de Propietarios e Inquilinos de Delaware
- Leyes del Limón de Delaware
Guías relacionadas
Preguntas frecuentes
¿Qué derechos tienen los consumidores de Delaware bajo la DPDPA?
Conforme a la sección 12D-104(a), los consumidores de Delaware pueden confirmar y acceder a sus datos personales, corregir inexactitudes, eliminar los datos proporcionados por ellos u obtenidos sobre ellos, obtener una copia portátil, obtener una lista de las categorías de terceros a las que el controlador divulgó sus datos, y excluirse de la publicidad dirigida, la venta de datos personales y la elaboración de perfiles que produzca efectos legales o de importancia similar. Estos derechos entraron en vigor el 1 de enero de 2025.
¿Cuánto tiempo tiene una empresa para responder a una solicitud de la DPDPA?
Conforme a la sección 12D-104(c)(1), un controlador debe responder sin demora injustificada y a más tardar 45 días después de recibir la solicitud. El controlador puede extender ese período por 45 días adicionales cuando sea razonablemente necesario, siempre que notifique al consumidor de la extensión y el motivo dentro de los primeros 45 días.
¿Puedo averiguar quién recibió mis datos bajo la DPDPA?
Sí, a nivel de categoría. Conforme a la sección 12D-104(a)(5), un consumidor de Delaware puede obtener una lista de las categorías de terceros a los que el controlador ha divulgado sus datos personales, como redes publicitarias o proveedores de análisis. Delaware divulga categorías de destinatarios en lugar de cada empresa individualmente nombrada.
¿Cómo me excluyo de la publicidad dirigida o la venta de mis datos en Delaware?
Conforme a la sección 12D-104(a)(6), puede enviar una solicitud de exclusión al controlador para la publicidad dirigida, la venta de datos personales y la elaboración de perfiles de efecto significativo. A partir del 1 de enero de 2026, conforme a la sección 12D-106(e), los controladores que realizan publicidad dirigida o venden datos también deben respetar una señal universal de preferencia de exclusión, como el Control de Privacidad Global, enviada automáticamente por su navegador o dispositivo.
¿Qué es el mecanismo universal de exclusión en Delaware?
Es una señal del navegador o dispositivo, como el Control de Privacidad Global, que informa automáticamente a cada sitio web que usted visita que se está excluyendo de la publicidad dirigida y la venta de sus datos. Conforme a la sección 12D-106(e), los controladores deben reconocer esta señal de preferencia de exclusión a partir del 1 de enero de 2026, para que pueda configurar una sola señal en lugar de hacer clic en una exclusión en cada sitio.
¿Puedo apelar si una empresa deniega mi solicitud bajo la DPDPA?
Sí. Conforme a la sección 12D-104(d), los controladores deben proporcionar un proceso de apelación visible y similar al proceso de la solicitud original. El controlador debe responder a una apelación dentro de 60 días con una explicación escrita, y si deniega la apelación debe darle una forma de presentar una queja ante el Departamento de Justicia de Delaware.
¿La DPDPA protege a los adolescentes?
Sí. Conforme a la sección 12D-106(a)(7), cuando un controlador tenga conocimiento real o ignore deliberadamente que un consumidor tiene al menos 13 pero menos de 18 años, no puede usar los datos de ese consumidor para publicidad dirigida ni venderlos sin consentimiento. Esto hace que el valor predeterminado para los adolescentes de 13 a 17 años sea el consentimiento expreso en lugar de la exclusión para esas actividades.
¿Puedo demandar a una empresa bajo la DPDPA?
No. Conforme a la sección 12D-111(d), la DPDPA no crea un derecho de acción privado. El Departamento de Justicia de Delaware tiene autoridad exclusiva de aplicación conforme a la sección 12D-111 y puede buscar sanciones civiles de hasta $10,000 por infracción. Los consumidores que crean que se violaron sus derechos pueden presentar una queja ante el Departamento de Justicia.
Fuentes y referencias
- Del. Code tit. 6, cap. 12D: Ley de Privacidad de Datos Personales de Delaware (Capítulo Completo)(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-104: Derechos de Datos Personales de los Consumidores(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-106: Responsabilidades de los Controladores y Exclusión Universal(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-102: Definiciones (Venta, Consentimiento, Elaboración de Perfiles)(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-111: Aplicación por el Departamento de Justicia(delcode.delaware.gov).gov
- Departamento de Justicia de Delaware: Portal de Privacidad de Datos Personales(attorneygeneral.delaware.gov).gov
- Departamento de Justicia de Delaware: Preguntas Frecuentes de la Ley de Privacidad de Datos Personales(attorneygeneral.delaware.gov).gov