Delaware
¿Qué es la DPDPA? Ley de Privacidad de Datos de Delaware

La Ley de Privacidad de Datos Personales de Delaware (DPDPA) es la ley integral de privacidad de datos del consumidor de Delaware, codificada en el Del. Code tit. 6, cap. 12D (§§ 12D-101 a 12D-111). Fue promulgada como el Proyecto de Ley de la Cámara 154 de la 152.ª Asamblea General, firmada el 11 de septiembre de 2023, y entró en vigor el 1 de enero de 2025. Otorga a los residentes de Delaware el derecho a acceder, corregir, eliminar y transferir sus datos personales, a excluirse de la publicidad dirigida, la venta de datos personales y cierta elaboración de perfiles, y a obtener una lista de las categorías de terceros a los que una empresa ha divulgado sus datos.
A partir de 2026, el Departamento de Justicia de Delaware tiene autoridad exclusiva de aplicación, y una infracción puede conllevar sanciones civiles de hasta $10,000 por infracción. El derecho de subsanación de 60 días en el que las empresas confiaron durante 2025 venció el 31 de diciembre de 2025, por lo que ya no existe un período de gracia garantizado antes de que el estado actúe.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos Personales de Delaware (Del. Code tit. 6, cap. 12D). Es información legal general, no asesoría legal.
Qué es la DPDPA: estatuto, promulgación y fecha de entrada en vigor
La Ley de Privacidad de Datos Personales de Delaware es la primera ley integral de privacidad de datos del consumidor de Delaware. Está codificada en el Título 6, Capítulo 12D del Código de Delaware, que va del § 12D-101 al § 12D-111. El título corto aparece en el § 12D-101, y las definiciones que rigen el resto del capítulo se encuentran en el § 12D-102.
La ley fue promulgada como el Proyecto de Ley de la Cámara 154 durante la 152.ª Asamblea General y fue firmada el 11 de septiembre de 2023. Luego entró en vigor el 1 de enero de 2025, dando a las empresas cubiertas aproximadamente quince meses para desarrollar programas de cumplimiento antes de que comenzaran sus obligaciones.
A partir de 2026, la DPDPA está plenamente operativa. Toda empresa que cumpla con los umbrales de aplicabilidad del § 12D-103 debe atender las solicitudes de derechos de los consumidores, respetar las señales de exclusión, limitar cómo procesa los datos sensibles y mantener un aviso de privacidad conforme. Para conocer el conjunto completo de obligaciones de controladores y encargados del tratamiento, consulte la página principal de leyes de privacidad de datos de Delaware.
A quién cubre la DPDPA: umbrales de aplicabilidad bajos
La prueba de aplicabilidad se encuentra en el § 12D-103. La ley se aplica a toda persona que realiza negocios en Delaware, o que produce productos o servicios dirigidos a residentes de Delaware, y que durante el año calendario anterior cumplió con uno de dos umbrales de datos.
El primer disparador es controlar o procesar los datos personales de no menos de 35,000 consumidores, excluyendo los datos controlados o procesados únicamente con el fin de completar una transacción de pago. Esa exclusión de pagos significa que un comerciante no cuenta cada pasada de tarjeta hacia el umbral cuando los únicos datos involucrados son los necesarios para completar esa compra individual.
El segundo disparador es controlar o procesar los datos personales de no menos de 10,000 consumidores mientras se obtiene más del 20 por ciento de los ingresos brutos de la venta de datos personales. Este umbral de menor recuento de consumidores apunta a empresas basadas en datos cuyo modelo depende de monetizar la información personal.
El piso de 35,000 consumidores está entre los más bajos del país. Varios estados fijan su umbral en 100,000 consumidores, por lo que la red de Delaware alcanza a organizaciones medianas e incluso más pequeñas. Un minorista regional, un grupo de membresía o un servicio digital con una audiencia modesta en Delaware puede estar cubierto donde la misma empresa escaparía de una ley de 100,000 consumidores.

La inusual cobertura de organizaciones sin fines de lucro y educación superior
Una de las características definitorias de la DPDPA es cuán pocas exenciones a nivel de entidad otorga. La mayoría de las leyes estatales de privacidad exime por completo a todas las organizaciones sin fines de lucro. Delaware no lo hace.
Conforme al § 12D-103, la única exclusión para organizaciones sin fines de lucro es para una organización dedicada exclusivamente a prevenir y abordar el fraude de seguros. Cualquier otra organización sin fines de lucro que cumpla con los umbrales de aplicabilidad generalmente está cubierta. El Departamento de Justicia de Delaware ha confirmado en su guía pública que la ley se aplica tanto a empresas con fines de lucro como sin ellos. Una organización benéfica, un grupo de defensa, un museo o una asociación de membresía que maneje suficientes datos de residentes de Delaware cae dentro de la ley.
Las instituciones de educación superior también están cubiertas, y esto también distingue a Delaware. La Sección 12D-103 exime a las agencias estatales y organismos gubernamentales locales de Delaware, pero incluye expresamente de nuevo a la educación superior al excluir a las instituciones de educación superior de esa exención gubernamental. El resultado práctico es que las universidades de Delaware están sujetas a la DPDPA aun cuando los organismos gubernamentales generales no lo están.
Estas dos características, la amplia cobertura de organizaciones sin fines de lucro y la cobertura expresa de la educación superior, significan que las organizaciones no pueden asumir que su estatus fiscal o categoría institucional las excluye de la ley. El análisis de exención debe hacerse contra la lista real del § 12D-103 en lugar de una suposición general.
Exenciones a nivel de datos y la exclusión de la GLBA
Delaware sigue reconociendo exenciones a nivel de datos y específicas de sector. Conforme al § 12D-103, la información de salud protegida procesada bajo HIPAA está exenta, al igual que la información que identifica a pacientes, ciertos datos de investigación con seres humanos, los datos de informes de consumidores regulados por la Ley de Informe Justo de Crédito, los datos cubiertos por la Ley de Protección de la Privacidad del Conductor, y los registros educativos regidos por FERPA.
En cuanto a las instituciones financieras, el § 12D-103 exime a una institución financiera o su afiliada en la medida en que esté sujeta al Título V de la Ley Gramm-Leach-Bliley. Esa es una exención significativa pero limitada, vinculada a la actividad regulada por la GLBA.
La estructura significa que una organización puede estar parcialmente exenta y parcialmente cubierta. Una entidad cubierta debe mapear cada conjunto de datos contra la lista de exenciones en lugar de asumir que un estatus regulatorio elimina a toda la organización.
Consentimiento expreso para datos sensibles y protecciones para adolescentes
Los datos sensibles están en el centro de la DPDPA porque su procesamiento requiere consentimiento expreso. Conforme al § 12D-106(a)(4), un controlador no puede procesar datos sensibles sin obtener primero el consentimiento del consumidor, y para los datos de un niño conocido debe obtener el consentimiento de un padre o tutor legal.
La definición de datos sensibles en el § 12D-102(30) es amplia. Cubre datos que revelan el origen racial o étnico, las creencias religiosas, la condición o el diagnóstico de salud mental o física incluido el embarazo, la vida sexual, la orientación sexual, el estatus como persona transgénero o no binaria, el estatus de ciudadanía y el estatus migratorio. También cubre datos genéticos o biométricos, los datos personales de un niño conocido, y los datos de geolocalización precisa. La inclusión expresa del embarazo y del estatus como persona transgénero o no binaria es notable y amplía la barrera de consentimiento en comparación con definiciones estatales más estrechas.
Delaware añade una protección distinta para adolescentes. Conforme al § 12D-106(a)(7), cuando un controlador tenga conocimiento real, o ignore deliberadamente, que un consumidor tiene al menos 13 pero menos de 18 años, no puede procesar los datos personales de ese consumidor para publicidad dirigida ni venderlos sin consentimiento. Esta regla de consentimiento para adolescentes alcanza el rango de edad de 13 a 17 años que los marcos más antiguos de privacidad infantil no cubrían.

El derecho a la lista de categorías de terceros
La DPDPA otorga a los consumidores de Delaware un derecho de transparencia que muchos marcos de privacidad más antiguos no tenían. Conforme al § 12D-104(a)(5), un consumidor puede obtener una lista de las categorías de terceros a los que el controlador ha divulgado los datos personales del consumidor.
Esta es una divulgación a nivel de categoría, lo que significa que un controlador divulga grupos como socios publicitarios o proveedores de análisis en lugar de cada destinatario nombrado. Aun así, brinda a los consumidores una visión estructurada de hacia dónde fluyen sus datos, y obliga a los controladores a mantener registros de sus categorías de divulgación. La guía sobre derechos del consumidor bajo la DPDPA cubre este derecho y el procedimiento de solicitud en profundidad.
DPDPA frente a CCPA: las diferencias clave
Las empresas que operan a nivel nacional a menudo comparan la DPDPA de Delaware con la ley de California. La página de comparación de leyes estatales de privacidad de datos cubre el panorama más amplio de múltiples estados, pero varias diferencias con la CCPA de California destacan.
| Característica | DPDPA de Delaware | CCPA/CPRA de California |
|---|---|---|
| Umbral de cobertura | 35,000 consumidores, o 10,000 más 20% de ingresos por venta de datos; sin piso en dólares | $25M de ingresos, 100,000 consumidores, o 50% de ingresos por venta de datos |
| Organizaciones sin fines de lucro | Generalmente cubiertas; solo exenta la de fraude de seguros (§ 12D-103) | Generalmente exentas |
| Educación superior | Cubierta; excluida de la exención gubernamental (§ 12D-103) | Cubierta como empresa si cumple los umbrales |
| Datos sensibles | Requiere consentimiento expreso; definición amplia (§ 12D-102(30)) | Derecho a limitar el uso; modelo de exclusión |
| Derecho de acción privado | Ninguno (§ 12D-111(d)) | Limitado, para ciertas violaciones de datos |
Las diferencias más consecuentes son la red de cobertura y las exenciones de entidades. La ausencia de un piso de ingresos en dólares y el umbral de 35,000 consumidores de Delaware atraen a empresas que el umbral de $25 millones de ingresos de California dejaría fuera, y Delaware alcanza a organizaciones sin fines de lucro y universidades que muchas leyes estatales eximen.
Las dos leyes también difieren en cuanto a los datos sensibles. California usa un derecho a limitar el uso de la información personal sensible, un modelo de exclusión. Delaware exige consentimiento expreso conforme al § 12D-106(a)(4) antes de que los datos sensibles puedan procesarse en absoluto, un valor predeterminado más estricto para esos datos.
Más Leyes de Delaware
- Leyes de Grabación de Reuniones con IA de Delaware
- Leyes de Pensión Alimenticia de Delaware
- Leyes de Empleo a Voluntad de Delaware
- Leyes de Accidentes Automovilísticos de Delaware
- Leyes de Asientos de Seguridad para Niños de Delaware
- Leyes de Custodia de Menores de Delaware
- Leyes de Manutención Infantil de Delaware
- Leyes de Matrimonio de Hecho de Delaware
- Leyes sobre Deepfakes de Delaware
- Leyes de Divorcio de Delaware
- Leyes sobre Mordeduras de Perro de Delaware
- Leyes de Emancipación de Delaware
- Leyes de Eliminación de Antecedentes Penales de Delaware
- Leyes de Atropello y Fuga de Delaware
- Leyes de Propietarios e Inquilinos de Delaware
- Leyes del Limón de Delaware
Guías relacionadas
Preguntas frecuentes
¿Qué es la DPDPA?
La DPDPA, o Ley de Privacidad de Datos Personales de Delaware, es la ley integral de privacidad de datos del consumidor de Delaware codificada en el Del. Code tit. 6, cap. 12D (secciones 12D-101 a 12D-111). Fue promulgada como el Proyecto de Ley de la Cámara 154 de la 152.ª Asamblea General, firmada el 11 de septiembre de 2023, y entró en vigor el 1 de enero de 2025. Otorga a los residentes de Delaware derechos sobre sus datos personales y exige a las empresas cubiertas ser transparentes sobre cómo los recopilan, usan y divulgan.
¿Cuándo entró en vigor la DPDPA?
La DPDPA entró en vigor el 1 de enero de 2025. Un requisito separado de reconocer una señal universal de preferencia de exclusión, como el Control de Privacidad Global, entró en vigor el 1 de enero de 2026 conforme a la sección 12D-106(e). El derecho de subsanación de 60 días disponible para las empresas durante 2025 venció el 31 de diciembre de 2025.
¿Cuáles son los umbrales de cobertura de la DPDPA?
Conforme a la sección 12D-103, la DPDPA cubre a toda persona que realiza negocios en Delaware o se dirige a residentes de Delaware que, en el año calendario anterior, controló o procesó los datos personales de al menos 35,000 consumidores (excluyendo los datos usados únicamente para completar una transacción de pago), o de al menos 10,000 consumidores mientras obtenía más del 20 por ciento de los ingresos brutos de la venta de datos personales. No hay un piso de ingresos en dólares, y el umbral de 35,000 consumidores está entre los más bajos del país.
¿La DPDPA se aplica a organizaciones sin fines de lucro?
Sí, generalmente. Delaware es inusual al cubrir a la mayoría de las organizaciones sin fines de lucro, donde muchos otros estados las eximen por completo. Conforme a la sección 12D-103, la única exclusión para organizaciones sin fines de lucro es para una dedicada exclusivamente a prevenir y abordar el fraude de seguros. El Departamento de Justicia de Delaware ha confirmado que la ley se aplica tanto a empresas con fines de lucro como sin ellos, por lo que una organización sin fines de lucro que cumpla los umbrales generalmente está cubierta.
¿La DPDPA se aplica a universidades y colegios?
Sí. La sección 12D-103 exime a los organismos gubernamentales estatales y locales de Delaware, pero excluye expresamente a las instituciones de educación superior de esa exención. Como resultado, las universidades de Delaware están cubiertas por la DPDPA si cumplen con los umbrales de aplicabilidad, aun cuando los organismos gubernamentales generales no lo están.
¿Qué se considera un dato sensible bajo la DPDPA?
Conforme a la sección 12D-102(30), los datos sensibles incluyen datos que revelan el origen racial o étnico, las creencias religiosas, la condición o el diagnóstico de salud mental o física incluido el embarazo, la vida sexual, la orientación sexual, el estatus como persona transgénero o no binaria, el estatus de ciudadanía y el estatus migratorio. También incluye datos genéticos o biométricos, los datos personales de un niño conocido, y los datos de geolocalización precisa. Procesar datos sensibles requiere consentimiento expreso conforme a la sección 12D-106(a)(4).
¿En qué se diferencia la DPDPA de la CCPA?
Diferencias clave: Delaware no tiene un umbral de ingresos en dólares y un disparador bajo de 35,000 consumidores, mientras que la CCPA de California usa un piso de $25 millones de ingresos entre sus disparadores; Delaware generalmente cubre a organizaciones sin fines de lucro y universidades mientras que California generalmente las exime; Delaware exige consentimiento expreso para los datos sensibles mientras que California usa un derecho de exclusión para limitar; y California tiene un derecho de acción privado limitado para ciertas violaciones de datos mientras que Delaware no tiene ninguno.
¿Quién hace cumplir la DPDPA?
El Departamento de Justicia de Delaware tiene autoridad exclusiva de aplicación conforme a la sección 12D-111. No existe un derecho de acción privado conforme a la sección 12D-111(d). Una infracción se trata como una práctica ilegal y puede conllevar sanciones civiles de hasta $10,000 por infracción. El derecho de subsanación de 60 días disponible durante 2025 venció el 31 de diciembre de 2025, por lo que ya no existe una ventana de subsanación garantizada a partir de 2026.
Fuentes y referencias
- Del. Code tit. 6, cap. 12D: Ley de Privacidad de Datos Personales de Delaware (Capítulo Completo)(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-103: Aplicabilidad y Exenciones(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-102: Definiciones (Datos Sensibles)(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-106: Responsabilidades de los Controladores(delcode.delaware.gov).gov
- Del. Code tit. 6, § 12D-111: Aplicación por el Departamento de Justicia(delcode.delaware.gov).gov
- Delaware HB 154 (152.ª Asamblea General): Ley de Privacidad de Datos Personales(legis.delaware.gov).gov
- Departamento de Justicia de Delaware: Portal de Privacidad de Datos Personales(attorneygeneral.delaware.gov).gov
- Departamento de Justicia de Delaware: Preguntas Frecuentes de la Ley de Privacidad de Datos Personales(attorneygeneral.delaware.gov).gov