Florida
Lista de Verificación de Cumplimiento de la FDBR: Privacidad de Datos de Florida

El cumplimiento de la Carta de Derechos Digitales de Florida (FDBR) comienza con una pregunta que la mayoría de las empresas pueden responder rápidamente: ¿es usted un "controlador" bajo Fla. Stat. 501.702(9)? Los deberes centrales del controlador aplican solo a una empresa con fines de lucro que genera más de $1,000 millones en ingresos brutos anuales globales y que cumple uno de tres criterios de gran tecnología, por lo que la mayoría de las empresas quedan fuera de las obligaciones centrales. Pero varias disposiciones más amplias alcanzan a las empresas ordinarias, por lo que ninguna empresa de Florida debería asumir que tiene cero exposición a la FDBR.
A partir de 2026, un controlador cubierto debe publicar un aviso de privacidad claro, atender los derechos del consumidor dentro de 45 días, obtener consentimiento de inclusión previa antes de procesar datos sensibles, respaldar las exclusiones de venta, publicidad dirigida, elaboración de perfiles, datos sensibles y reconocimiento de voz y facial, y contratar adecuadamente con los procesadores. El Departamento de Asuntos Legales de Florida hace cumplir la FDBR con un período de subsanación discrecional de 45 días y sanciones civiles de hasta $50,000 por infracción, triplicables en casos definidos. No existe un derecho de acción privada.
Alcance jurisdiccional: Esto cubre la Carta de Derechos Digitales de Florida de Florida (Fla. Stat. 501.701 y siguientes). Es información legal general, no asesoría legal.
Paso 1: Ejecute el análisis de aplicabilidad
El primer paso es el más decisivo. Las obligaciones centrales del controlador de la FDBR aplican solo a una persona que califique como "controlador" bajo 501.702(9). Esa definición exige que la empresa esté organizada con fines de lucro, realice negocios en Florida o produzca productos o servicios usados por residentes de Florida, recopile datos personales y determine los propósitos y medios de procesamiento, genere más de $1,000 millones en ingresos brutos anuales globales, y cumpla uno de tres criterios.
Los tres criterios en 501.702(9)(a)6. son: obtener el 50 por ciento o más de los ingresos brutos anuales globales de la venta de anuncios en línea; operar un altavoz inteligente para consumidores y servicio de comandos de voz con un asistente virtual integrado conectado a un servicio de computación en la nube; u operar una tienda de aplicaciones o plataforma de distribución digital que ofrezca al menos 250,000 aplicaciones de software diferentes.
Una empresa que no supera la línea de $1,000 millones en ingresos, o que la supera pero no cumple ninguno de los tres criterios, no es un controlador. Documente este análisis por escrito. La conclusión de que usted no es un controlador es en sí misma un elemento de cumplimiento que vale la pena conservar, porque explica por qué los deberes centrales a continuación no le aplican.
Paso 2: Revise las disposiciones más amplias que toda empresa debe atender
Concluir que usted no es un controlador no termina la investigación. El SB 262 creó varias disposiciones que alcanzan a empresas mucho más allá del umbral de $1,000 millones, y ahí es donde las empresas ordinarias de Florida tienen con más frecuencia exposición a la FDBR.
Las protecciones en línea para menores en 501.1735 aplican a una plataforma en línea que ofrece un servicio, producto, juego o función en línea que probablemente accedan predominantemente los menores, independientemente de los ingresos. Esa sección restringe procesar los datos personales de un menor conocido de maneras que causen daño sustancial o riesgo de privacidad, prohíbe ciertos patrones oscuros, y limita la recopilación de la geolocalización precisa de un menor conocido sin consentimiento. Cualquier empresa orientada al consumidor con una audiencia joven debería revisarla.
El estatuto de notificación de violaciones 501.171 se enmendó para agregar los datos biométricos (según se definen en 501.702) y la información de geolocalización a las categorías de información personal que activan los deberes de notificación de violaciones. Eso amplía las obligaciones de respuesta a incidentes para las empresas en general. Finalmente, cualquier empresa que monetice datos sensibles debería revisar la regla de consentimiento para la venta de datos sensibles en 501.715. Mapee su exposición a cada una antes de asumir que la FDBR no le afecta.

Paso 3: Aviso de privacidad
Un controlador cubierto debe proporcionar a los consumidores un aviso de privacidad razonablemente accesible y claro bajo 501.711. El aviso debe describir las categorías de datos personales que procesa el controlador, los propósitos del procesamiento, cómo los consumidores pueden ejercer sus derechos y apelar una decisión, las categorías de datos personales que el controlador comparte con terceros, y las categorías de esos terceros.
Si el controlador vende datos personales a terceros o procesa datos personales para publicidad dirigida, el aviso debe divulgar eso de manera clara y visible y explicar cómo un consumidor puede ejercer el derecho de exclusión. La divulgación debe ser lo suficientemente específica para que un consumidor pueda actuar en consecuencia, no enterrada en términos generales de uso.
Debido a que el "consentimiento" bajo 501.702 excluye la aceptación de términos generales y el uso de patrones oscuros, un programa de privacidad debe mantener el aviso y el consentimiento separados. Un aviso informa; el consentimiento es un acto afirmativo separado. Tratar la aceptación de un único término de uso como ambos es una brecha de cumplimiento común.
Paso 4: Inclusión previa para datos sensibles, exclusiones incluyendo reconocimiento de voz y facial
Un controlador cubierto debe obtener consentimiento de inclusión previa antes de procesar datos sensibles. Bajo 501.71(2)(d), un controlador no puede procesar los datos sensibles de un consumidor sin consentimiento, y para un menor conocido debe obtener la autorización de un menor de entre 13 y 18 años o cumplir con la COPPA para un menor de 13 años. Los datos sensibles bajo 501.702 incluyen datos de salud, religiosos, raciales o étnicos, orientación sexual, inmigración, genéticos, biométricos, de menor conocido, y de geolocalización precisa.
En el lado de las exclusiones, un controlador debe construir y respetar varios mecanismos. Bajo 501.705(1)(e), los consumidores pueden excluirse de la venta de datos personales, la publicidad dirigida y la elaboración de perfiles. Bajo 501.705(1)(f), los consumidores pueden excluirse de la recopilación de datos sensibles, incluyendo la geolocalización precisa. Bajo 501.705(1)(g), los consumidores pueden excluirse de la recopilación de datos personales mediante una función de reconocimiento de voz o reconocimiento facial.
La exclusión de reconocimiento de voz y facial es la que las empresas pasan por alto con más frecuencia, porque se sitúa en la etapa de recopilación en lugar de la etapa de uso o venta. Un controlador que opera dispositivos o funciones que recopilan huellas de voz o geometría facial debe dar a los consumidores una manera de desactivar esa recopilación, y no debe usar esas funciones para vigilancia cuando no están en uso activo sin autorización. La mecánica de exclusión e inclusión se explica para los consumidores en la guía de derechos del consumidor bajo la FDBR.

Paso 5: Manejo de solicitudes del consumidor y contratos con procesadores
Un controlador debe operacionalizar el ciclo de vida de las solicitudes del consumidor. Bajo 501.709, debe proporcionar uno o más medios seguros y confiables para que los consumidores presenten solicitudes autenticadas. Bajo 501.706(2), debe responder dentro de 45 días, con una extensión de 15 días permitida cuando sea razonablemente necesaria. La información debe ser gratuita al menos dos veces al año por consumidor, y una negativa debe venir acompañada de una justificación e instrucciones de apelación bajo 501.707.
Un controlador también debe vincular a sus procesadores. Bajo 501.712, un procesador debe adherirse a las instrucciones del controlador y ayudar al controlador a cumplir sus obligaciones de la FDBR, y la relación debe estar regida por un contrato que establezca las instrucciones de procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos, la duración, y los derechos y obligaciones de ambas partes. El contrato debe exigir al procesador garantizar un deber de confidencialidad, eliminar o devolver los datos al final del compromiso, y poner a disposición la información necesaria para demostrar el cumplimiento.
Estos contratos son un enfoque frecuente de aplicación porque asignan la responsabilidad a lo largo de la cadena de manejo de datos. Un controlador que depende de proveedores para la segmentación de anuncios, el procesamiento de voz o el análisis debe confirmar que cada relación con un proveedor esté documentada según el estándar de 501.712.
Paso 6: Aplicación, período de subsanación y sanciones
El Departamento de Asuntos Legales de Florida, dentro de la oficina del Fiscal General, tiene autoridad exclusiva de aplicación bajo 501.72. Una infracción de la FDBR se trata como una práctica comercial injusta y engañosa que solo el departamento puede accionar. Bajo 501.72(8), la parte no establece una causa de acción privada, por lo que no existe riesgo de demanda del consumidor bajo la FDBR misma.
El departamento puede, a su discreción, otorgar un período de 45 días para subsanar una presunta infracción y emitir una carta de orientación. Debido a que el período de subsanación es discrecional en lugar de garantizado, una empresa no debería contar con él. Las sanciones civiles llegan hasta $50,000 por infracción, y el departamento puede buscar medidas cautelares y otros remedios disponibles bajo el capítulo de protección al consumidor.
Las sanciones pueden triplicarse en tres situaciones definidas bajo 501.72: una infracción que involucre a un consumidor de Florida que sea un menor conocido; el hecho de que un controlador no elimine o corrija los datos personales de un consumidor tras recibir una solicitud autenticada; y la venta o el intercambio continuado por parte de un controlador de los datos personales de un consumidor después de que el consumidor se haya excluido. La siguiente matriz de sanciones resume la estructura de aplicación.
| Elemento | Disposición de la FDBR | Detalle |
|---|---|---|
| Ente que aplica | 501.72(1) | Solo el Departamento de Asuntos Legales; práctica injusta y engañosa |
| Período de subsanación | 501.72(2) | Subsanación discrecional de 45 días más carta de orientación |
| Sanción base | 501.72(1) | Hasta $50,000 por infracción |
| Sanción triplicada | 501.72(1)(a)-(c) | Menor conocido; no eliminar o corregir; venta continuada tras exclusión |
| Acción privada | 501.72(8) | Ninguna |
La postura de aplicación temprana del departamento es real. Sus informes anuales de aplicación muestran cientos de quejas de consumidores en el primer período de reporte después del 1 de julio de 2024, y ha iniciado acciones alegando la recopilación y venta no autorizadas de datos de menores. Para la identidad de la ley, su historia y el umbral de $1,000 millones en contexto, consulte qué es la FDBR.
Más Leyes de Florida
- Leyes de Grabación de Reuniones con IA de Florida
- Leyes de Pensión Alimenticia de Florida
- Leyes de Empleo a Voluntad de Florida
- Leyes de Accidentes de Auto de Florida
- Leyes de Asientos de Auto para Niños de Florida
- Leyes de Custodia de Menores de Florida
- Leyes de Manutención de Menores de Florida
- Leyes de Matrimonio de Hecho de Florida
- Leyes de Deepfakes de Florida
- Leyes de Divorcio de Florida
- Leyes sobre Mordeduras de Perro de Florida
- Leyes de Emancipación de Florida
- Leyes de Eliminación de Antecedentes de Florida
- Leyes de Choque y Fuga de Florida
- Leyes de Propietario e Inquilino de Florida
- Leyes del Limón de Florida
Guías relacionadas
Preguntas frecuentes
¿Mi empresa tiene que cumplir con la Carta de Derechos Digitales de Florida?
Los deberes centrales del controlador aplican solo si su empresa tiene fines de lucro, genera más de $1,000 millones en ingresos brutos anuales globales, y cumple uno de tres criterios bajo 501.702(9): 50 por ciento o más de ingresos por publicidad en línea, operar un asistente de voz de altavoz inteligente para consumidores, u operar una tienda de aplicaciones con al menos 250,000 aplicaciones. La mayoría de las empresas no superan esta prueba, pero disposiciones más amplias como las protecciones para menores en 501.1735 aún pueden aplicar.
¿Qué es el umbral de $1,000 millones de la FDBR?
Bajo 501.702(9), un controlador cubierto debe generar más de $1,000 millones en ingresos brutos anuales globales, además de tener fines de lucro y cumplir uno de tres criterios de gran tecnología. Este piso de ingresos es el más alto del país para una ley de privacidad estatal integral y es la razón por la cual las obligaciones centrales de la FDBR apuntan efectivamente solo a las plataformas más grandes.
¿Qué disposiciones aplican a las empresas con menos de $1,000 millones en ingresos?
Varias. Las protecciones en línea para menores en 501.1735 aplican a las plataformas que probablemente accedan predominantemente los menores, independientemente de los ingresos. El estatuto de notificación de violaciones 501.171 se enmendó para agregar los datos biométricos y de geolocalización para las empresas en general. Y la regla de consentimiento para la venta de datos sensibles en 501.715 debería ser revisada por cualquier empresa que monetice datos sensibles.
¿Qué debe incluir un aviso de privacidad de la FDBR?
Bajo 501.711, el aviso de privacidad de un controlador cubierto debe divulgar las categorías de datos personales procesados, los propósitos del procesamiento, cómo los consumidores ejercen sus derechos y apelan, las categorías de datos compartidos con terceros, y las categorías de esos terceros. Si el controlador vende datos o realiza publicidad dirigida, debe divulgar eso de manera clara y visible y cómo excluirse.
¿Necesito consentimiento para recopilar datos de reconocimiento de voz o facial en Florida?
Sí, para los datos sensibles en general. Bajo 501.71(2)(d), un controlador debe obtener consentimiento de inclusión previa antes de procesar datos sensibles, lo que incluye los datos biométricos. Por separado, bajo 501.705(1)(g), los consumidores pueden excluirse de la recopilación de datos personales mediante una función de reconocimiento de voz o facial, y dichas funciones no pueden usarse para vigilancia cuando están inactivas sin autorización.
¿Cuánto tiempo tiene un controlador para atender una solicitud de la FDBR?
Bajo 501.706(2), un controlador debe responder dentro de 45 días de recibir una solicitud autenticada, con una extensión de 15 días permitida cuando sea razonablemente necesaria. La información es gratuita al menos dos veces al año por consumidor. Una negativa debe incluir la justificación e instrucciones sobre cómo apelar bajo 501.707, todo dentro de la ventana de 45 días.
¿Cuáles son las sanciones bajo la Carta de Derechos Digitales de Florida?
Bajo 501.72, el Departamento de Asuntos Legales puede buscar sanciones civiles de hasta $50,000 por infracción. Las sanciones pueden triplicarse para infracciones que involucren a un menor conocido, el hecho de que un controlador no elimine o corrija tras una solicitud, o la venta o el intercambio continuado tras una exclusión. El departamento puede otorgar un período de subsanación discrecional de 45 días, y no existe un derecho de acción privada bajo 501.72(8).
¿El período de subsanación de la FDBR está garantizado?
No. Bajo 501.72, el período de subsanación de 45 días es discrecional. El Departamento de Asuntos Legales puede otorgarlo y emitir una carta de orientación, pero no está obligado a hacerlo. Una empresa no debería asumir que tendrá la oportunidad de subsanar antes de que se apliquen las sanciones, y debería construir el cumplimiento de manera proactiva en lugar de depender de una ventana de subsanación.
Fuentes y referencias
- Fla. Stat. 501.702: Definiciones, incluyendo la definición de Controlador y el umbral de $1,000 millones(flsenate.gov).gov
- Fla. Stat. 501.703: Aplicabilidad(flsenate.gov).gov
- Fla. Stat. 501.705: Derechos del consumidor y exclusiones(flsenate.gov).gov
- Fla. Stat. 501.706: Respuesta del controlador a las solicitudes del consumidor(flsenate.gov).gov
- Fla. Stat. 501.71: Deberes del controlador (consentimiento de datos sensibles, no discriminación)(flsenate.gov).gov
- Fla. Stat. 501.711: Avisos de privacidad(flsenate.gov).gov
- Fla. Stat. 501.712: Deberes del procesador(flsenate.gov).gov
- Fla. Stat. 501.715: Requisitos para datos sensibles(flsenate.gov).gov
- Fla. Stat. 501.72: Aplicación e implementación por el Departamento de Asuntos Legales(flsenate.gov).gov
- Departamento de Asuntos Legales de Florida: Informe Anual de Aplicación de la Carta de Derechos Digitales de Florida(myfloridalegal.com).gov