Florida
Leyes de Privacidad de Datos de Florida: Carta de Derechos Digitales y Reglas de Violaciones (2026)

La ley de privacidad de datos de Florida opera en dos vías: la Carta de Derechos Digitales de Florida (Fla. Stat. 501.701-501.721), vigente desde el 1 de julio de 2024 y que aplica solo a empresas con ingresos globales superiores a $1,000 millones que cumplan los criterios de gran tecnológica, y la FIPA (Fla. Stat. 501.171), que cubre a todas las empresas que manejan información personal de residentes de Florida.
Florida ha adoptado un enfoque único en materia de privacidad de datos. En lugar de aprobar una ley amplia de privacidad del consumidor que cubra a todas las empresas que operan en el estado, la legislatura creó la Carta de Derechos Digitales de Florida (FDBR), un estatuto dirigido específicamente a las empresas de tecnología más grandes del mundo.
Para la gran mayoría de las empresas de Florida, la principal obligación de privacidad de datos sigue siendo la Ley de Protección de la Información de Florida (FIPA), que se centra en la seguridad de datos y la notificación de violaciones en lugar de derechos integrales de privacidad del consumidor.
Este sistema de dos vías significa que comprender la ley de privacidad de datos de Florida requiere examinar ambos estatutos, junto con los marcos federales que llenan los vacíos para la mayoría de las organizaciones.
La Carta de Derechos Digitales de Florida (FDBR): Qué Cubre en Realidad
El gobernador Ron DeSantis firmó la Carta de Derechos Digitales de Florida como ley el 6 de junio de 2023, como el SB 262. Entró en vigor el 1 de julio de 2024 y está codificada en Fla. Stat. 501.701-501.721.

Lo que distingue a la FDBR de cualquier otra ley de privacidad estatal del país es su umbral de aplicabilidad. Esta no es una ley que aplique al consultorio de su dentista local o a una empresa de comercio electrónico de tamaño mediano.
Quién Debe Cumplir: El Umbral de $1,000 Millones
La FDBR aplica solo a entidades que cumplan todos los siguientes criterios:
- Realizar negocios en Florida o producir productos o servicios consumidos por residentes de Florida
- Recopilar datos personales sobre consumidores (o que alguien los recopile en su nombre)
- Ganar más de $1,000 millones en ingresos brutos anuales globales
- Cumplir al menos una de estas tres condiciones adicionales:
- Obtener el 50% o más de los ingresos globales de la venta de publicidad en línea, incluyendo publicidad dirigida
- Operar un altavoz inteligente para consumidores con un asistente virtual activado por voz conectado a computación en la nube
- Operar una tienda de aplicaciones o plataforma de distribución digital que ofrezca al menos 250,000 aplicaciones de software
En términos prácticos, esto significa que la FDBR apunta a empresas como Google, Amazon, Apple y Meta. Una empresa que gana $999 millones en ingresos globales no está cubierta, sin importar cuántos datos de consumidores procese.
El resumen del proyecto de ley del Senado de Florida confirma que este alcance limitado fue intencional. Los legisladores diseñaron la ley para abordar las prácticas de recopilación de datos desproporcionadas de las grandes empresas tecnológicas específicamente.
Derechos del Consumidor Bajo la FDBR
Para los consumidores de Florida cuyos datos son manejados por un controlador calificado, la FDBR otorga los siguientes derechos bajo Fla. Stat. 501.705:
Derecho a confirmar y acceder. Los consumidores pueden confirmar si un controlador está procesando sus datos personales y acceder a esos datos.
Derecho a corregir. Los consumidores pueden solicitar la corrección de inexactitudes en sus datos personales, teniendo en cuenta la naturaleza y los propósitos del procesamiento.
Derecho a eliminar. Los consumidores pueden solicitar la eliminación de cualquiera o todos los datos personales proporcionados por ellos u obtenidos sobre ellos.
Derecho a la portabilidad de datos. Los consumidores pueden obtener una copia de sus datos personales en un formato portátil y, en la medida técnicamente factible, fácilmente utilizable.
Derecho a excluirse. Los consumidores pueden excluirse de:
- El procesamiento de datos personales para publicidad dirigida
- La venta de datos personales
- La elaboración de perfiles que produzca efectos legales o de importancia similar
- La recopilación de datos sensibles, incluyendo datos de geolocalización precisa
- La recopilación de datos mediante funciones de reconocimiento de voz o reconocimiento facial
Los controladores deben responder a las solicitudes de los consumidores dentro de 45 días, con una extensión de 45 días permitida si es razonablemente necesaria.
Protecciones para Datos Sensibles
La FDBR trata ciertas categorías de datos personales con protección reforzada. Un controlador cubierto no puede vender datos sensibles sin recibir el consentimiento previo del consumidor.
Los datos sensibles bajo la FDBR incluyen:
- Origen racial o étnico
- Creencias religiosas
- Diagnóstico de salud mental o física
- Orientación sexual
- Estatus de ciudadanía o inmigración
- Datos genéticos o biométricos
- Datos personales de un menor conocido
- Datos de geolocalización precisa
Para los datos recopilados mediante funciones de reconocimiento de voz o reconocimiento facial, la FDBR agrega una protección adicional: los dispositivos con estas funciones no pueden usarlas para vigilancia cuando el consumidor no las está usando activamente, a menos que el consumidor lo autorice expresamente.
Deberes del Controlador y Evaluaciones de Protección de Datos
Los controladores cubiertos bajo la FDBR deben:
- Limitar la recopilación de datos a lo que sea adecuado, relevante y razonablemente necesario
- Implementar prácticas razonables de seguridad de datos
- Proporcionar avisos de privacidad claros y significativos
- Realizar y documentar evaluaciones de protección de datos para actividades de procesamiento que presenten un riesgo elevado, incluyendo publicidad dirigida, venta de datos personales, elaboración de perfiles y procesamiento de datos sensibles
Estas evaluaciones deben sopesar los beneficios del procesamiento frente a los riesgos potenciales para los consumidores, considerando el uso de la desidentificación, las expectativas razonables del consumidor y el contexto del procesamiento.
Restricciones a la Moderación de Contenido Gubernamental
La FDBR incluye disposiciones únicas entre las leyes de privacidad estatales. Se prohíbe a los empleados gubernamentales usar su posición o recursos estatales para comunicarse con plataformas de redes sociales y solicitar la eliminación de contenido. Las entidades gubernamentales no pueden iniciar ni mantener acuerdos con plataformas de redes sociales con fines de moderación de contenido.
Estas restricciones no aplican al mantenimiento rutinario de cuentas, a los esfuerzos por eliminar contenido relacionado con actividad delictiva, ni a las acciones para prevenir daño corporal, pérdida de vidas o daños a la propiedad. Ciertas disposiciones relacionadas con el gobierno entraron en vigor antes, el 1 de julio de 2023.
Exenciones
La FDBR exime a varias categorías de entidades y datos de sus requisitos:
- Entidades reguladas por la Ley Gramm-Leach-Bliley (GLBA) para instituciones financieras
- Entidades sujetas a las reglas de privacidad, seguridad y notificación de violaciones de la HIPAA
- Organizaciones sin fines de lucro
- Datos sujetos a la Ley de Informe Justo de Crédito
- Datos cubiertos por la Ley de Protección de la Privacidad en Línea de los Niños (COPPA)
- Varios otros marcos regulatorios federales
Estas exenciones significan que los bancos, proveedores de atención médica y organizaciones sin fines de lucro que operan en Florida no están sujetos a la FDBR, incluso si de otro modo cumplen el umbral de ingresos.
Aplicación de la FDBR y Primera Acción de Ejecución
La FDBR es aplicada exclusivamente por el Fiscal General de Florida a través del Departamento de Asuntos Legales. No existe un derecho de acción privada, lo que significa que los consumidores individuales no pueden demandar directamente a las empresas por infracciones de la FDBR.
Antes de iniciar una acción de aplicación, el Fiscal General debe proporcionar al controlador un aviso por escrito identificando las disposiciones específicas que se cree que fueron infringidas. El controlador entonces tiene 45 días para subsanar la presunta infracción.

El 14 de octubre de 2025, la Oficina de Derechos Parentales del Fiscal General James Uthmeier presentó la primera acción de aplicación de la FDBR del estado contra Roku, Inc. y su subsidiaria en Florida. La demanda se presentó en el 20.º Circuito Judicial de Florida. Las acusaciones: Roku "recopiló, vendió y permitió la reidentificación de datos personales sensibles, incluyendo hábitos de visualización, grabaciones de voz y otra información de menores, sin autorización ni aviso significativo a las familias de Florida". Los ingresos operativos de Roku en 2024, de $3,400 millones, colocaron a la empresa muy por encima del umbral de $1,000 millones de la FDBR.
Las sanciones civiles disponibles bajo la FDBR llegan hasta $150,000 por infracción que involucre a menores y hasta $50,000 por infracción que afecte a otras personas. La acción también buscó medidas cautelares y medidas que exigen divulgaciones transparentes y el cese de ventas de datos no autorizadas.
En febrero de 2026, el Fiscal General Uthmeier anunció la creación de la Unidad de Prevención CHINA, una iniciativa de aplicación especializada dentro de la oficina del Fiscal General. La unidad investiga a corporaciones de propiedad extranjera, particularmente aquellas con propiedad china, que recopilan datos de consumidores de residentes de Florida. Ha emitido citaciones a fabricantes de dispositivos médicos exigiendo auditorías y verificación de si las transferencias de datos biométricos o de pacientes se dirigen a servidores extranjeros.
Protecciones en Línea para Menores: Fla. Stat. 501.1735 y 501.1736
La ley de Florida ofrece un conjunto escalonado de protecciones para los menores en espacios en línea a través de dos estatutos distintos.
Fla. Stat. 501.1735 prohíbe a las plataformas en línea cubiertas:
-
Procesar los datos de los menores de forma perjudicial. Las plataformas no pueden procesar la información personal de un menor si tienen conocimiento real o ignoran deliberadamente que el procesamiento puede resultar en un daño sustancial o riesgo de privacidad para los menores.
-
Elaborar perfiles de menores sin salvaguardas. Las plataformas no pueden elaborar el perfil de un menor a menos que puedan demostrar que existen salvaguardas apropiadas.
-
Usar patrones oscuros. Las plataformas no pueden usar técnicas de diseño manipuladoras para inducir o alentar a los menores a proporcionar información personal más allá de lo razonablemente esperado, a renunciar a las protecciones de privacidad, o a tomar acciones que puedan causar un daño sustancial.
-
Usar indebidamente los datos de estimación de edad. Cualquier información personal recopilada para estimar la edad de un usuario no puede usarse para ningún otro propósito ni puede retenerse más tiempo del necesario para la estimación de edad.
Las empresas deben obtener consentimiento claro antes de vender o usar los datos sensibles de un menor, y deben proporcionar aviso transparente sobre cómo se recopila y comparte la información personal de los menores.
Fla. Stat. 501.1736 (promulgada como HB 3 durante la sesión de 2024) va más allá. Exige a las plataformas de redes sociales:
- Prohibir cuentas para menores de 14 años. Las plataformas deben terminar las cuentas existentes de menores de 14 años y bloquear la creación de nuevas cuentas.
- Exigir consentimiento parental para menores de 14 y 15 años. Las plataformas cubiertas deben obtener el consentimiento verificable de los padres o tutores antes de que los menores de este grupo de edad puedan crear cuentas.
- Restringir funciones adictivas. Las plataformas no pueden usar funciones de diseño algorítmico que hagan que los usuarios pierdan la noción del tiempo o dejen de dormir, o que envíen notificaciones después de las 10 p.m. a menores.
Fla. Stat. 501.1736 apunta a las plataformas de redes sociales que "usan algoritmos para explotar vulnerabilidades psicológicas" en menores. Un tribunal federal de distrito inicialmente bloqueó la ley mediante una orden judicial, pero el 25 de noviembre de 2025, un panel de 2 a 1 de la Corte de Apelaciones de EE. UU. para el Undécimo Circuito levantó la orden, encontrando que el estado demostró de manera contundente que la ley probablemente es neutral en cuanto al contenido y satisface el escrutinio intermedio. El Fiscal General de Florida anunció planes inmediatos para una aplicación agresiva. El litigio constitucional subyacente (CCIA y NetChoice v. Uthmeier) continúa.
La Ley de Protección de la Información de Florida (FIPA): Fla. Stat. 501.171
Mientras que la FDBR apunta a las grandes tecnológicas, la Ley de Protección de la Información de Florida (FIPA) es la ley de privacidad de datos que en realidad aplica a la mayoría de las empresas que operan en Florida. Promulgada originalmente en 2014 como SB 1524, la FIPA se centra en dos requisitos principales: la seguridad de datos y la notificación de violaciones.
A Quién Cubre la FIPA
La FIPA aplica ampliamente a:
- Entidades cubiertas: cualquier entidad que adquiera, mantenga, almacene o use información personal (esto incluye empresas de todos los tamaños)
- Entidades gubernamentales: agencias estatales y locales
- Agentes externos: cualquier entidad contratada para mantener, almacenar o procesar información personal en nombre de una entidad cubierta o entidad gubernamental
No existe un umbral de ingresos, un mínimo de empleados ni un requisito de volumen de datos. Si su empresa maneja información personal de residentes de Florida, la FIPA le aplica.
Qué Cuenta Como Información Personal Bajo la FIPA
La FIPA define "información personal" como el nombre de pila (o inicial) y apellido de una persona combinados con uno o más de los siguientes:
- Un número de licencia de conducir, número de tarjeta de identificación, número de pasaporte, número de identificación militar u otro identificador emitido por el gobierno similar
- Un número de cuenta financiera, número de tarjeta de crédito o de débito, combinado con cualquier código de seguridad, código de acceso o contraseña necesaria para acceder a la cuenta
- Información de historial médico, condición de salud mental o física, o tratamiento o diagnóstico médico por un profesional de la salud
- Un número de póliza de seguro médico o número de identificación de suscriptor, más cualquier identificador único usado por una aseguradora de salud
La definición también incluye un nombre de usuario o dirección de correo electrónico combinado con una contraseña o pregunta y respuesta de seguridad que permitiría el acceso a una cuenta en línea.
Requisitos de Seguridad de Datos
La FIPA exige que cada entidad cubierta, entidad gubernamental y agente externo tome medidas razonables para proteger y asegurar los datos en forma electrónica que contengan información personal.
El estatuto no prescribe controles técnicos específicos. En cambio, "medidas razonables" es un estándar flexible que considera el tamaño y la complejidad de la organización, la naturaleza y el alcance de sus actividades, y la sensibilidad de los datos involucrados.
Reglas de Notificación de Violaciones
Los requisitos de notificación de violaciones de la FIPA se encuentran entre los más detallados del país.

Cronograma de notificación:
- El aviso a las personas afectadas debe proporcionarse a más tardar 30 días después de determinar la violación o de tener razón para creer que ocurrió
- La entidad puede recibir una extensión de 15 días si se proporciona una causa justificada por escrito al Departamento de Asuntos Legales de Florida dentro de la ventana inicial de 30 días
- Las fuerzas del orden pueden autorizar un retraso razonable si la notificación interfiriera con una investigación penal
Aviso al Departamento de Asuntos Legales de Florida:
Si una violación afecta a 500 o más personas en Florida, la entidad cubierta también debe notificar al Departamento. Si la violación afecta a 1,000 o más personas, la entidad también debe notificar a todas las agencias nacionales de informes de crédito al consumidor dentro de 30 días. Este aviso debe incluir:
- Una sinopsis de los eventos que rodean la violación
- El número de personas afectadas en Florida
- Cualquier servicio que se ofrezca sin costo a las personas afectadas (como monitoreo de crédito)
- El nombre, dirección, número de teléfono y correo electrónico de un empleado o agente que pueda proporcionar información adicional
Cuándo NO se requiere aviso:
Una entidad no está obligada a notificar a las personas si, después de una investigación y consulta con las fuerzas del orden, determina razonablemente que la violación no ha resultado ni probablemente resultará en robo de identidad o daño financiero. Esta determinación debe documentarse por escrito y conservarse durante al menos cinco años.
Sanciones de la FIPA
Una entidad cubierta que infrinja los requisitos de notificación enfrenta sanciones civiles estructuradas de la siguiente manera:
- $1,000 por día por cada día de infracción durante los primeros 30 días
- $50,000 por período de 30 días (o fracción del mismo) por cada período subsiguiente de 30 días, hasta 180 días
- Un límite total de $500,000 por violación
Las sanciones se calculan por violación, no por persona afectada. El Fiscal General de Florida hace cumplir la FIPA a través de la Ley de Prácticas Comerciales Engañosas y Desleales de Florida (FDUTPA). No existe un derecho de acción privada bajo la FIPA.
Obligaciones de los Agentes Externos
Cuando ocurre una violación en un sistema mantenido por un agente externo, ese agente debe notificar a la entidad cubierta a más tardar 10 días después de determinar que ocurrió la violación o de tener razón para creer que ocurrió. La entidad cubierta, no el agente externo, es entonces responsable de notificar al consumidor.
Ley de Solicitación Telefónica de Florida: Consentimiento para Llamadas y Mensajes de Texto
La Ley de Solicitación Telefónica de Florida, Fla. Stat. 501.059, rige las prácticas de telemercadeo y llamadas automatizadas para las empresas que venden bienes o servicios a los consumidores de Florida. Aplica a cualquier persona o entidad que haga negocios en Florida y realice llamadas de venta telefónicas a residentes de Florida, ya sea desde dentro o fuera del estado.
Llamadas y mensajes de texto automatizados. La Sección 501.059(8)(a) prohíbe realizar llamadas de venta telefónicas no solicitadas usando un sistema automatizado para la selección y marcación de números telefónicos (o reproducir un mensaje grabado cuando se completa una conexión) sin el consentimiento previo expreso por escrito de la parte llamada. Las enmiendas de 2023 a la FTSA cambiaron la frase de "selección o marcación" a "selección y marcación", estrechando la definición de sistemas automatizados cubiertos.
Requisitos de consentimiento previo expreso por escrito. El consentimiento válido debe ser un acuerdo escrito que lleve la firma de la parte llamada (incluyendo firmas electrónicas o digitales) que autorice claramente las llamadas o mensajes automatizados a un número telefónico específico, incluya una divulgación clara y visible que explique la autorización, y establezca que firmar no es una condición para ninguna compra. El consentimiento también puede demostrarse marcando una casilla o respondiendo afirmativamente a una campaña por correo electrónico o mensaje de texto.
Regla de exclusión de mensajes de texto. Antes de presentar una demanda por mensajes de texto no deseados, el destinatario primero debe responder "STOP" al remitente. El solicitante entonces tiene 15 días para dejar de enviar mensajes de texto de solicitación, o enfrenta responsabilidad estatutaria.
La FTSA no exige de manera independiente que las empresas graben las llamadas, pero sí exige consentimiento antes de que se realicen llamadas automatizadas o pregrabadas. Las leyes de consentimiento para grabar de Florida bajo Fla. Stat. 934.03 rigen por separado si la grabación de llamadas es lícita.
Voyeurismo Digital: Fla. Stat. 810.145
El estatuto de voyeurismo digital de Florida fue renombrado de "voyeurismo de video" a "voyeurismo digital" mediante cambios legislativos de 2024 vigentes desde el 1 de octubre de 2024. La ley prohíbe ver, grabar o transmitir en secreto imágenes de personas en entornos privados (baños, vestidores, viviendas residenciales) donde tienen una expectativa razonable de privacidad.
Delitos clave incluyen:
- Usar en secreto un dispositivo de captura de imágenes para ver o grabar a una persona que se está vistiendo o exponiendo privadamente su cuerpo sin consentimiento
- Fotografía por debajo de la ropa (grabar debajo o a través de la ropa sin consentimiento)
- Difusión o distribución comercial de dichas grabaciones
Sanciones bajo las enmiendas de 2024:
- Los adultos de 19 años o más que cometan voyeurismo digital enfrentan cargos de delito grave de tercer grado
- Los menores de 19 años enfrentan cargos de delito menor de primer grado
- La difusión de grabaciones de voyeurismo digital constituye un delito grave de tercer grado independientemente de la edad del infractor
- Cuando el infractor es un familiar o miembro del hogar de la víctima, o tiene una posición de autoridad o confianza sobre la víctima, las sanciones aumentan al siguiente grado de delito grave superior
Cada instancia de ver en secreto a una persona, o de transmitir o distribuir una grabación, constituye un delito separado bajo el estatuto.
Marcos Federales que Aplican en Florida
Dado que la FDBR cubre solo a las empresas de tecnología más grandes, la mayoría de las empresas de Florida dependen de los marcos federales de privacidad para sus principales obligaciones de cumplimiento.
HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
Los proveedores de atención médica, planes de salud, cámaras de compensación de atención médica y sus asociados comerciales deben cumplir con la Regla de Privacidad, la Regla de Seguridad y la Regla de Notificación de Violaciones de la HIPAA. La HIPAA prevalece sobre las leyes estatales menos protectoras, pero no sobre las más protectoras.
GLBA (Ley Gramm-Leach-Bliley)
Las instituciones financieras, incluyendo bancos, cooperativas de crédito, aseguradoras y firmas de valores, deben cumplir con los requisitos de privacidad y salvaguardas de la GLBA. La GLBA exige avisos de privacidad financiera y limita el intercambio de información personal no pública.
COPPA (Ley de Protección de la Privacidad en Línea de los Niños)
Los sitios web y servicios en línea dirigidos a menores de 13 años, o que a sabiendas recopilan información de menores de 13 años, deben cumplir con los requisitos de consentimiento parental y los principios de minimización de datos de la COPPA.
FCRA (Ley de Informe Justo de Crédito)
Las agencias de informes al consumidor, los usuarios de informes de consumo y los proveedores de información deben cumplir con los requisitos de exactitud, divulgación y resolución de disputas de la FCRA.
Sección 5 de la Ley de la FTC
La Comisión Federal de Comercio puede iniciar acciones de aplicación contra cualquier empresa que participe en prácticas injustas o engañosas relacionadas con los datos del consumidor, proporcionando una protección básica para todos los consumidores de Florida.
TAKE IT DOWN Act (Pub. L. 119-12)
El presidente Trump firmó la TAKE IT DOWN Act (Ley de Herramientas para Abordar la Explotación Conocida Inmovilizando Deepfakes Tecnológicos en Sitios Web y Redes) el 19 de mayo de 2025. La ley tipifica como delito la publicación de imágenes íntimas no consentidas (NCII), incluyendo deepfakes generados por IA, con sanciones de hasta dos años de prisión (más severas para imágenes que involucren a menores). Las prohibiciones penales entraron en vigor de inmediato. Las plataformas cubiertas tienen hasta el 19 de mayo de 2026 para establecer procedimientos de aviso y eliminación: a solicitud de una víctima, las plataformas deben eliminar el NCII dentro de 48 horas y borrar todas las copias. La FTC hace cumplir las disposiciones de obligación de las plataformas. La representante de Florida Maria Salazar fue una de las principales patrocinadoras del proyecto de ley en la Cámara.

Novedades Legislativas 2025-2026
La legislatura de Florida continúa ampliando las protecciones de privacidad de datos en sectores específicos.
Verificación de edad en redes sociales (Fla. Stat. 501.1736 / HB 3). Promulgada durante la sesión de 2024 y codificada como Fla. Stat. 501.1736, esta ley prohíbe a las plataformas de redes sociales permitir la creación de cuentas por menores de 14 años y exige consentimiento parental para menores de 14 y 15 años. Tras una orden judicial federal inicial, el Undécimo Circuito levantó el bloqueo el 25 de noviembre de 2025, permitiendo la aplicación activa. El litigio sobre el fondo continúa a partir de mayo de 2026.
Privacidad de datos de vehículos motorizados (HB 1557, sesión 2026). Este proyecto de ley aborda los datos del operador y la información de identificación personal recopilada por los fabricantes de vehículos. Prohibiría a los fabricantes ciertas acciones relacionadas con los datos del operador y les exigiría proporcionar a los propietarios de vehículos acceso y control de sus datos. La fecha de vigencia propuesta es el 1 de julio de 2026. Verifique el estado de promulgación actual antes de citarlo como ley vigente.
Carta de Derechos de IA de Florida (SB 482, sesión 2026). El Senado de Florida aprobó el SB 482 con una votación de 35-2 el 4 de marzo de 2026. El proyecto de ley habría exigido el consentimiento parental antes de que los menores pudieran usar chatbots de compañía, habría restringido los contratos de agencias estatales con proveedores de IA vinculados a gobiernos extranjeros, e impuesto requisitos de desidentificación de datos. El proyecto de ley murió en la Cámara de Florida el 13 de marzo de 2026 y no se convirtió en ley.
Unidad de Prevención CHINA (febrero de 2026). El Fiscal General Uthmeier estableció una unidad especializada dentro de la oficina del Fiscal General para investigar a corporaciones de propiedad extranjera, particularmente aquellas con propiedad china, que recopilan datos de consumidores de residentes de Florida. La unidad ha emitido citaciones a fabricantes de dispositivos médicos.
Restricciones de contratación gubernamental. A partir del 1 de julio de 2025, una entidad gubernamental no puede extender ni renovar un contrato con ciertas entidades extranjeras si el contrato le daría a esa entidad acceso a información de identificación personal de las personas.
Cómo se Compara Florida con Otras Leyes Estatales de Privacidad
El enfoque de Florida contrasta marcadamente con las leyes de privacidad estatales integrales como la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Privacidad de Colorado y la Ley de Privacidad de Datos de Connecticut.
| Característica | Florida FDBR | California CCPA/CPRA | Colorado CPA | Connecticut CTDPA |
|---|---|---|---|---|
| Umbral de ingresos | $1,000 millones+ globales | $25 millones+ | Ninguno | Ninguno |
| Criterios adicionales | Debe cumplir 1 de 3 pruebas de gran tecnológica | Volumen de datos o % de ingresos | 100 mil consumidores o 25 mil + % de ingresos | 100 mil consumidores o 25 mil + % de ingresos |
| Empresas cubiertas aproximadas | ~20-30 empresas | Millones | Miles | Miles |
| Derechos del consumidor | Acceso, corrección, eliminación, portabilidad, exclusión | Acceso, corrección, eliminación, portabilidad, exclusión, limitar datos sensibles | Acceso, corrección, eliminación, portabilidad, exclusión | Acceso, corrección, eliminación, portabilidad, exclusión |
| Derecho de acción privada | No | Limitado (violaciones de datos) | No | No |
| Aplicación | Solo Fiscal General | Fiscal General + privado limitado | Solo Fiscal General | Solo Fiscal General |
| Período de subsanación | 45 días | 30 días (expiró en 2023) | 60 días (expira en 2025) | 60 días (expira en 2025) |
El efecto práctico es que un minorista en línea con sede en Florida que factura $50 millones en ingresos anuales y maneja datos significativos de consumidores estaría sujeto a las leyes de privacidad de California, Colorado y Connecticut si atiende a residentes de esos estados, pero no estaría sujeto a la FDBR en su estado de origen.
Pasos Prácticos para las Empresas de Florida
Dado el marco de Florida, las empresas que operan en el estado deben centrarse en lo siguiente:
1. Cumplir con los requisitos de notificación de violaciones de la FIPA. Esta es la obligación básica para toda empresa de Florida que maneja información personal. Asegúrese de tener un plan de respuesta a incidentes que pueda cumplir con el plazo de notificación de 30 días.
2. Implementar medidas de seguridad razonables. El estándar de "medidas razonables" de la FIPA exige prácticas de seguridad de datos proporcionales al tamaño de su organización y la sensibilidad de los datos que maneja.
3. Evaluar las obligaciones federales de privacidad. Determine si la HIPAA, la GLBA, la COPPA, la FCRA u otros marcos federales aplican a su industria y prácticas de datos específicas.
4. Monitorear el cumplimiento multiestatal. Si atiende a consumidores en estados con leyes de privacidad integrales (California, Colorado, Connecticut, Virginia y otros), es probable que esas leyes le apliquen aunque la FDBR no lo haga.
5. Vigilar cuidadosamente los datos de menores. Las protecciones para menores de Florida bajo Fla. Stat. 501.1735 y 501.1736 aplican a las plataformas en línea independientemente de los umbrales de ingresos. Si su plataforma es accesible para menores, revise estos requisitos antes de que la aplicación por parte del Fiscal General se intensifique aún más.
6. Revisar las obligaciones de la TAKE IT DOWN Act. Si su plataforma aloja contenido generado por usuarios, las obligaciones de eliminación de NCII por parte de la plataforma bajo la TAKE IT DOWN Act entraron en vigor el 19 de mayo de 2026. Establezca procedimientos de aviso y eliminación.
7. Documentar sus prácticas de datos. Mantener registros de qué datos recopila, cómo los usa, dónde los almacena y con quién los comparte posiciona a su empresa para el cumplimiento a medida que las leyes de privacidad continúan evolucionando.
Guías detalladas
- ¿Qué es la FDBR? Carta de Derechos Digitales de Florida
- Derechos del Consumidor bajo la FDBR: Sus Derechos de Privacidad de Datos
- Lista de Verificación de Cumplimiento de la FDBR para Empresas (2026)
Más Leyes de Florida
- Leyes de Grabación de Reuniones con IA de Florida
- Leyes de Pensión Alimenticia de Florida
- Leyes de Empleo a Voluntad de Florida
- Leyes de Accidentes de Auto de Florida
- Leyes de Asientos de Auto para Niños de Florida
- Leyes de Custodia de Menores de Florida
- Leyes de Manutención de Menores de Florida
- Leyes de Matrimonio de Hecho de Florida
- Leyes de Deepfakes de Florida
- Leyes de Divorcio de Florida
- Leyes sobre Mordeduras de Perro de Florida
- Leyes de Emancipación de Florida
- Leyes de Eliminación de Antecedentes de Florida
- Leyes de Choque y Fuga de Florida
- Leyes de Propietario e Inquilino de Florida
- Leyes del Limón de Florida
Noticias relacionadas
Preguntas frecuentes
¿La Carta de Derechos Digitales de Florida aplica a mi pequeña empresa?
Casi con seguridad no. La FDBR aplica solo a empresas con más de $1,000 millones en ingresos brutos anuales globales que además cumplan al menos uno de tres criterios adicionales: obtener el 50% o más de los ingresos de la publicidad en línea, operar un altavoz inteligente para consumidores con un asistente virtual, u operar una tienda de aplicaciones con al menos 250,000 aplicaciones. Esto efectivamente limita la ley a un puñado de grandes empresas tecnológicas. Las pequeñas y medianas empresas de Florida están sujetas en cambio a la Ley de Protección de la Información de Florida (FIPA) para la seguridad de datos y la notificación de violaciones.
¿Cuáles son las sanciones por una violación de datos en Florida?
Bajo la FIPA (Fla. Stat. 501.171), una empresa que no cumpla con los requisitos de notificación de violaciones enfrenta sanciones civiles de $1,000 por día durante los primeros 30 días de infracción, $50,000 por cada período subsiguiente de 30 días hasta 180 días, y un límite máximo de $500,000 por violación. Las sanciones se calculan por violación, no por persona afectada. El Fiscal General de Florida hace cumplir estas sanciones a través de la Ley de Prácticas Comerciales Engañosas y Desleales. Bajo la FDBR, las infracciones que involucren a menores pueden llegar hasta $150,000 por infracción.
¿Con qué rapidez debo notificar a los clientes de una violación de datos en Florida?
La ley de Florida exige la notificación a las personas afectadas a más tardar 30 días después de que determine que ocurrió una violación o tenga razón para creer que ocurrió. Puede solicitar una extensión de 15 días proporcionando una causa justificada por escrito al Departamento de Asuntos Legales de Florida dentro de la ventana inicial de 30 días. Si la violación afecta a 500 o más residentes de Florida, también debe notificar al Departamento dentro del mismo plazo. Las violaciones que afectan a 1,000 o más personas requieren adicionalmente la notificación a las agencias nacionales de informes de crédito al consumidor. Los agentes externos que sufran una violación deben notificar a la entidad cubierta dentro de 10 días.
¿Qué derechos del consumidor otorga la FDBR?
La FDBR otorga a los consumidores de Florida el derecho a confirmar si un controlador cubierto está procesando sus datos, acceder a sus datos personales, corregir inexactitudes, eliminar sus datos y obtener una copia portátil. Los consumidores también pueden excluirse de la publicidad dirigida, la venta de datos, la elaboración de perfiles que produzca efectos legales, la recopilación de datos sensibles y la recopilación de datos mediante funciones de reconocimiento de voz o facial. Estos derechos solo aplican contra empresas que cumplan el umbral de $1,000 millones en ingresos de la FDBR y los criterios adicionales.
¿La ley de Florida protege los datos de los menores en línea?
Sí. Bajo Fla. Stat. 501.1735, se prohíbe a las plataformas en línea procesar la información personal de un menor (menor de 18 años) de maneras que puedan causar daño sustancial, usar patrones oscuros para manipular a los menores a compartir datos, o elaborar perfiles de menores sin salvaguardas apropiadas. Bajo Fla. Stat. 501.1736 (HB 3), las plataformas de redes sociales deben prohibir cuentas para menores de 14 años y exigir consentimiento parental para menores de 14 y 15 años. El Undécimo Circuito levantó la orden judicial sobre esta ley en noviembre de 2025, permitiendo la aplicación activa.
¿Florida exige consentimiento antes de grabar una llamada telefónica?
Sí. Bajo Fla. Stat. 934.03, Florida es un estado de consentimiento de todas las partes para la grabación de llamadas: todas las partes de una conversación deben consentir antes de que se grabe. Por separado, la Ley de Solicitación Telefónica de Florida (Fla. Stat. 501.059) exige el consentimiento previo expreso por escrito antes de que las empresas realicen llamadas automatizadas o pregrabadas o envíen mensajes de texto automatizados a los consumidores de Florida. Las infracciones de la FTSA pueden resultar en sanciones civiles estatutarias.
¿Qué es la TAKE IT DOWN Act y aplica en Florida?
La TAKE IT DOWN Act (Pub. L. 119-12), firmada el 19 de mayo de 2025, es una ley federal que tipifica como delito la publicación de imágenes íntimas no consentidas (NCII), incluyendo deepfakes generados por IA, y exige a las plataformas eliminar dicho contenido dentro de 48 horas de la solicitud de una víctima. Las obligaciones de eliminación por parte de las plataformas entraron en vigor el 19 de mayo de 2026. La ley aplica en todo el país, incluyendo Florida. La FTC hace cumplir las disposiciones de las plataformas. La representante de Florida Maria Salazar fue una de las principales patrocinadoras del proyecto de ley en la Cámara.
¿Qué es la ley de voyeurismo digital de Florida?
El Estatuto 810.145 de Florida (renombrado de voyeurismo de video a voyeurismo digital vigente desde el 1 de octubre de 2024) prohíbe grabar o ver en secreto a personas en entornos donde tienen una expectativa razonable de privacidad, como baños o vestidores. Los adultos de 19 años o más que cometan voyeurismo digital enfrentan cargos de delito grave de tercer grado. La difusión de tales grabaciones también es un delito grave de tercer grado. Las sanciones aumentan cuando el infractor es un familiar o persona en posición de autoridad sobre la víctima.
Fuentes y referencias
- Florida Statutes 501.701-501.721 (Carta de Derechos Digitales de Florida) -- Los Estatutos de Florida de 2025(leg.state.fl.us).gov
- SB 262 Texto Promulgado -- Carta de Derechos Digitales de Florida(flsenate.gov).gov
- Estatuto de Florida 501.171 -- Seguridad de la Información Personal Confidencial (FIPA)(leg.state.fl.us).gov
- Estatuto de Florida 501.1735 -- Protección de los Menores en Espacios en Línea(leg.state.fl.us).gov
- Estatuto de Florida 501.1736 -- Plataformas de Redes Sociales; Usuarios Menores(flsenate.gov).gov
- Estatuto de Florida 501.059 -- Solicitación Telefónica -- Los Estatutos de Florida de 2025(leg.state.fl.us).gov
- Estatuto de Florida 810.145 -- Voyeurismo Digital -- Los Estatutos de Florida de 2025(leg.state.fl.us).gov
- SB 262 Resumen del Proyecto de Ley -- Sesión del Senado de Florida 2023(flsenate.gov).gov
- Informe Anual de Aplicación de la Carta de Derechos Digitales de Florida (2026)(myfloridalegal.com).gov
- Acción de Aplicación del Fiscal General Contra Roku -- My Florida Legal (14 de octubre de 2025)(myfloridalegal.com).gov
- SB 1524 (2014) -- Legislación Original de la Ley de Protección de la Información de Florida(flsenate.gov).gov
- Protección al Consumidor sobre Seguridad de Datos -- My Florida Legal(myfloridalegal.com).gov
- HB 1557 (2026) -- Privacidad de Datos de Vehículos Motorizados(flsenate.gov).gov
- Orden del Undécimo Circuito Levantando la Medida Cautelar de HB 3 -- CCIA y NetChoice v. Uthmeier (25 de noviembre de 2025)(netchoice.org)
- TAKE IT DOWN Act -- Resumen del CRS de Congress.gov (Pub. L. 119-12)(congress.gov).gov
- Resumen del Proyecto de Ley de Voyeurismo Digital de 2024 -- Senado de Florida(flsenate.gov).gov
- Florida entra en el ámbito de la aplicación de la privacidad: análisis del caso Roku -- Freeman Mathis & Gary(fmglaw.com)