Nebraska
Que es la NDPA? Ley de Privacidad de Datos de Nebraska (2026)

La Ley de Privacidad de Datos de Nebraska (NDPA), codificada en el Neb. Rev. Stat. 87-1101 y siguientes, es la ley integral de privacidad del consumidor de Nebraska. Se promulgo como el Proyecto de Ley Legislativo 1074, firmado por el gobernador Jim Pillen el 17 de abril de 2024, y entro en vigor el 1 de enero de 2025. La NDPA otorga a los residentes de Nebraska el derecho a acceder, corregir, eliminar y portar sus datos personales, ademas del derecho a optar por no participar en la publicidad dirigida, la venta de datos personales y cierta elaboracion de perfiles.
La caracteristica mas destacada es como la ley decide quien debe cumplir. En lugar de una cifra de ingresos o una cantidad numerica de consumidores, la NDPA utiliza la prueba federal de pequena empresa: se aplica a casi cualquier empresa que no sea una "pequena empresa" segun lo determinado por la Ley Federal de Pequenas Empresas. Nebraska es el segundo estado, despues de Texas, en utilizar esa prueba, y el efecto practico es que la ley alcanza a muchas empresas medianas que quedan por debajo de los umbrales de consumidores o ingresos en leyes como la CCPA. La aplicacion de la ley recae exclusivamente en el Procurador General de Nebraska, quien puede solicitar multas civiles de hasta $7,500 por infraccion segun el Neb. Rev. Stat. 87-1124.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos de Nebraska (Neb. Rev. Stat. 87-1101 y siguientes). Es informacion legal general, no asesoria legal.
Que es la NDPA y Cuando Entro en Vigor
La Ley de Privacidad de Datos de Nebraska es una ley integral de privacidad del consumidor, lo que significa que rige como las empresas recopilan, usan, comparten y protegen los datos personales de los residentes de Nebraska en general, en lugar de regular un solo sector. El Neb. Rev. Stat. 87-1101 establece que las secciones 87-1101 a 87-1130 "se conoceran y podran citarse como la Ley de Privacidad de Datos". La Legislatura la aprobo como la LB 1074 durante la sesion de 2024, el gobernador Pillen la firmo el 17 de abril de 2024, y entro en vigencia el 1 de enero de 2025.
La NDPA pertenece a la familia de leyes estatales de privacidad que siguen la estructura de Virginia y Connecticut, en lugar de la de California. Ese linaje se refleja en el vocabulario. La ley habla de "responsables" y "encargados del tratamiento", otorga a los consumidores un conjunto definido de derechos, y es aplicada unicamente por el Procurador General. No crea el amplio derecho de demanda privada que permiten las disposiciones de violaciones de datos de California.
Un "consumidor" segun la NDPA es, de acuerdo con el Neb. Rev. Stat. 87-1102, "una persona que es residente de este estado y que actua unicamente en un contexto individual o domestico", y la definicion excluye expresamente a una persona "que actua en un contexto comercial o laboral". Esto significa que los datos de los empleados y los contactos entre empresas quedan fuera del marco central de derechos del consumidor, una caracteristica comun de las leyes del modelo de Virginia que distingue a Nebraska de California.
El Umbral de Pequena Empresa al Estilo de Texas
Lo que distingue a la NDPA es su prueba de aplicabilidad. Segun el Neb. Rev. Stat. 87-1103, la ley se aplica a una persona que (1) realiza negocios en Nebraska o produce un producto o servicio consumido por residentes de Nebraska, (2) procesa datos personales o participa en su venta, y (3) no es una pequena empresa segun lo determinado por la Ley Federal de Pequenas Empresas, tal como existia dicha ley el 1 de enero de 2024. No hay un piso de ingresos ni una cantidad de consumidores que superar.
Nebraska es el segundo estado en adoptar este enfoque, siguiendo a Texas, cuya Ley de Privacidad y Seguridad de Datos fue pionera en la prueba de pequena empresa. El contraste con California es marcado. La CCPA solo alcanza a las empresas que cumplen con uno de tres desencadenantes: $25 millones en ingresos anuales, los datos personales de 100,000 o mas consumidores, o el 50 por ciento de los ingresos provenientes de la venta o el intercambio de datos personales. Una empresa mediana puede situarse comodamente por debajo de los tres desencadenantes de la CCPA y aun asi estar totalmente cubierta por la NDPA, porque la unica pregunta que hace Nebraska es si la empresa es una "pequena empresa".
La Ley Federal de Pequenas Empresas y sus estandares de tamano clasifican a las empresas por industria, generalmente utilizando la cantidad de empleados o los ingresos anuales promedio, que varian segun el sector. La Administracion de Pequenas Empresas publica esos estandares de tamano por codigo NAICS. El resultado es que una determinacion de cobertura de la NDPA a menudo depende de la clasificacion industrial de una empresa y su tamano en relacion con su estandar NAICS, no de cuantos residentes de Nebraska afecta. Para las empresas multiestatales, esto hace que sea mas facil quedar dentro de la NDPA que de las leyes basadas en umbrales.

La Excepcion para Pequenas Empresas Aun Tiene Fuerza
La exclusion de pequena empresa no es un pase libre completo. Incluso una empresa que esta exenta de la mayor parte de la NDPA por calificar como pequena empresa sigue estando sujeta a un deber importante. Segun el Neb. Rev. Stat. 87-1118, una pequena empresa "no debera vender datos personales que sean datos sensibles sin recibir el consentimiento previo del consumidor".
Esto refleja la disposicion equivalente de la ley de Texas y representa una decision legislativa deliberada. Los legisladores estuvieron dispuestos a aliviar a las pequenas empresas de la carga total de cumplimiento, pero no a permitirles vender las categorias mas sensibles de datos personales, como informacion de salud, biometrica o de geolocalizacion precisa, sin un consentimiento expreso afirmativo del consumidor. Una pequena empresa que nunca vende datos sensibles queda efectivamente fuera de la NDPA; una pequena empresa que si los vende debe obtener el consentimiento primero.
La leccion practica es que el estatus de "pequena empresa" responde la mayor parte de la pregunta de aplicabilidad, pero no toda. Cualquier empresa que comercie con datos sensibles debe evaluar el requisito de consentimiento del articulo 87-1118, sin importar su clasificacion de tamano.
Los Datos Sensibles Requieren Consentimiento Expreso
Para las empresas que estan cubiertas, la NDPA trata los datos sensibles de manera mas estricta que los datos personales ordinarios. Segun el Neb. Rev. Stat. 87-1112, un responsable no puede "procesar los datos sensibles de un consumidor sin obtener el consentimiento de este". Esta es una regla de consentimiento expreso, lo contrario de la regla predeterminada de exclusion que rige el procesamiento ordinario, donde los datos pueden utilizarse a menos y hasta que el consumidor se oponga.
Los datos sensibles se definen en el Neb. Rev. Stat. 87-1102 e incluyen los datos personales que revelan el origen racial o etnico, las creencias religiosas, un diagnostico de salud mental o fisica, la orientacion sexual, o el estatus de ciudadania o inmigracion; los datos geneticos o biometricos procesados para identificar de manera unica a una persona; los datos personales recopilados de un menor conocido; y los datos de geolocalizacion precisa. El consentimiento debe ser un acto afirmativo claro, otorgado libremente y de manera especifica, y no puede obtenerse mediante un diseno de interfaz enganoso.
Para los datos recopilados en linea de un menor conocido, el Neb. Rev. Stat. 87-1106 establece que el cumplimiento de la Ley Federal de Proteccion de la Privacidad Infantil en Linea (COPPA) satisface el requisito de consentimiento parental de la NDPA. La COPPA generalmente rige a los menores de 13 anos, por lo que las empresas que atienden a usuarios mas jovenes pueden apoyarse en su cumplimiento existente de la COPPA para ese grupo.

Como se Compara la NDPA con la CCPA y la Ley de Texas
Nebraska y California alcanzan objetivos de proteccion del consumidor ampliamente similares a traves de mecanismos muy diferentes. La CCPA de California surgio de una tradicion de iniciativa electoral y es aplicada por un regulador dedicado, la Agencia de Proteccion de la Privacidad de California, junto con el Procurador General. La NDPA utiliza el vocabulario de responsable y encargado del tratamiento del modelo de Virginia y es aplicada unicamente por el Procurador General. La siguiente tabla destaca las diferencias practicas, incluida la estrecha relacion entre Nebraska y Texas.
| Caracteristica | NDPA de Nebraska | TDPSA de Texas | CCPA/CPRA de California |
|---|---|---|---|
| Desencadenante de cobertura | No ser pequena empresa (prueba de la SBA) | No ser pequena empresa (prueba de la SBA) | $25M de ingresos, 100,000 consumidores, o 50% de ingresos por venta |
| Umbral numerico | Ninguno | Ninguno | Si |
| Datos sensibles | Se requiere consentimiento expreso | Se requiere consentimiento expreso | Derecho a limitar el uso |
| Venta de datos sensibles por pequenas empresas | Se requiere consentimiento (87-1118) | Se requiere consentimiento | No aplicable |
| Derecho de accion privada | Ninguno | Ninguno | Limitado, para ciertas violaciones de datos |
| Regulador | Procurador General | Procurador General | Agencia de Proteccion de la Privacidad de California |
El contraste principal es alcance versus profundidad. Los desencadenantes de ingresos y de grandes cantidades de consumidores de California apuntan a operadores mas grandes, mientras que Nebraska y Texas incluyen a cualquier empresa que no sea una pequena empresa, sin importar cuantos o cuan pocos residentes atienda. Una empresa demasiado pequena para la CCPA aun puede estar cubierta por la NDPA. Para las empresas multiestatales, la prueba de pequena empresa de la NDPA y su regla de consentimiento expreso para datos sensibles a menudo establecen una base que un programa de privacidad debe respaldar.
Aplicacion de la Ley y el Periodo de Subsanacion Permanente
El Procurador General de Nebraska es el unico encargado de hacer cumplir la NDPA. Segun el Neb. Rev. Stat. 87-1124, el Procurador General puede iniciar una accion en nombre del Estado de Nebraska, y un infractor es responsable de una multa civil "por un monto que no exceda los siete mil quinientos dolares por cada infraccion", ademas de los honorarios razonables de abogados y otros gastos incurridos en investigar y presentar la accion. No existe un derecho de accion privada, por lo que los consumidores individuales no pueden demandar directamente a una empresa; pueden presentar quejas ante el Procurador General, quien decide si actua.
Antes de demandar, el Procurador General debe dar aviso. Segun el Neb. Rev. Stat. 87-1122, el Procurador General "debera notificar por escrito a un responsable o encargado del tratamiento" sobre las presuntas infracciones especificas a mas tardar el trigesimo dia antes de iniciar una accion, y no puede iniciarla si el destinatario subsana las infracciones dentro de ese periodo y proporciona una declaracion por escrito de que lo ha hecho. A diferencia de algunos estados que redactaron su periodo de subsanacion para que expire tras un ano inicial de gracia, el periodo de subsanacion de 30 dias de Nebraska es permanente. Hasta 2026, una empresa cubierta aun cuenta con esa ventana de 30 dias para corregir un problema identificado antes de que el Procurador General pueda presentar una demanda.
Guias Relacionadas
- Centro de Leyes de Privacidad de Datos de Nebraska
- Derechos del Consumidor Segun la NDPA
- Lista de Verificacion de Cumplimiento de la NDPA
- Comparacion de las Leyes Estatales de Privacidad en EE. UU.
- Que es la CCPA?
Mas Leyes de Nebraska
- Leyes de Nebraska sobre Grabacion de Reuniones con IA
- Leyes de Pension Alimenticia de Nebraska
- Leyes de Empleo a Voluntad de Nebraska
- Leyes de Accidentes Automovilisticos de Nebraska
- Leyes de Asientos de Seguridad para Ninos de Nebraska
- Leyes de Custodia de Menores de Nebraska
- Leyes de Manutencion Infantil de Nebraska
- Leyes de Matrimonio de Hecho de Nebraska
- Leyes sobre Deepfakes de Nebraska
- Leyes de Divorcio de Nebraska
- Leyes sobre Mordeduras de Perro de Nebraska
- Leyes de Emancipacion de Nebraska
- Leyes de Eliminacion de Antecedentes Penales de Nebraska
- Leyes sobre Fuga del Lugar del Accidente de Nebraska
- Leyes de Propietarios e Inquilinos de Nebraska
- Ley del Limon de Nebraska
Preguntas frecuentes
Que es la Ley de Privacidad de Datos de Nebraska?
La NDPA, codificada en el Neb. Rev. Stat. 87-1101 y siguientes, es la ley integral de privacidad del consumidor de Nebraska. Promulgada como la LB 1074 y vigente desde el 1 de enero de 2025, otorga a los residentes derechos de acceso, correccion, eliminacion y portabilidad de sus datos, ademas del derecho a optar por no participar en la publicidad dirigida, la venta y la elaboracion de perfiles.
Cuando entro en vigor la Ley de Privacidad de Datos de Nebraska?
El gobernador Jim Pillen firmo la LB 1074 el 17 de abril de 2024, y la Ley de Privacidad de Datos de Nebraska entro en vigor el 1 de enero de 2025.
Quien debe cumplir con la NDPA?
Segun el Neb. Rev. Stat. 87-1103, la NDPA se aplica a una empresa que realiza negocios en Nebraska o produce un producto o servicio consumido por residentes de Nebraska, procesa o vende datos personales, y no es una pequena empresa segun la Ley Federal de Pequenas Empresas. No existe un umbral de ingresos ni de cantidad de consumidores.
Por que se compara el umbral de Nebraska con el de Texas?
Nebraska es el segundo estado, despues de Texas, en utilizar la prueba federal de pequena empresa para determinar la cobertura en lugar de una cifra de ingresos o una cantidad de consumidores. Ambas leyes se aplican a cualquier empresa que no sea una pequena empresa segun la Ley Federal de Pequenas Empresas.
Estan las pequenas empresas completamente exentas segun la NDPA?
Mayormente, pero no del todo. Incluso una pequena empresa no puede vender datos sensibles sin el consentimiento previo del consumidor segun el Neb. Rev. Stat. 87-1118, por lo que cualquier pequena empresa que venda datos sensibles debe obtener primero un consentimiento expreso.
Exige la NDPA consentimiento para los datos sensibles?
Si. Segun el Neb. Rev. Stat. 87-1112, un responsable no puede procesar los datos sensibles de un consumidor sin obtener el consentimiento de este. Esta es una regla de consentimiento expreso, a diferencia de la regla predeterminada de exclusion para el procesamiento ordinario.
Cuales son las sanciones por infringir la NDPA?
El Procurador General puede solicitar multas civiles de hasta $7,500 por infraccion segun el Neb. Rev. Stat. 87-1124, ademas de los honorarios razonables de abogados y gastos. No existe un derecho de accion privada, por lo que los consumidores no pueden demandar directamente a una empresa.
Existe un periodo de subsanacion bajo la NDPA?
Si, y es permanente. Segun el Neb. Rev. Stat. 87-1122, el Procurador General debe dar aviso por escrito al menos 30 dias antes de iniciar una accion, y no puede demandar si la empresa subsana la infraccion dentro de esa ventana. A diferencia de algunos estados, el periodo de subsanacion de Nebraska no vence.
Fuentes y referencias
- Neb. Rev. Stat. 87-1101, Ley; como se cita (Ley de Privacidad de Datos)(nebraskalegislature.gov).gov
- Neb. Rev. Stat. 87-1102, Terminos definidos(nebraskalegislature.gov).gov
- Neb. Rev. Stat. 87-1103, Aplicabilidad de la ley a personas o entidades(nebraskalegislature.gov).gov
- Neb. Rev. Stat. 87-1112, Responsable; requisitos de recopilacion y uso(nebraskalegislature.gov).gov
- Neb. Rev. Stat. 87-1118, Datos sensibles; venta; consentimiento requerido(nebraskalegislature.gov).gov
- Neb. Rev. Stat. 87-1122, Notificacion de infracciones; respuesta(nebraskalegislature.gov).gov
- Neb. Rev. Stat. 87-1124, Infraccion; sancion; acciones autorizadas(nebraskalegislature.gov).gov
- Legislatura de Nebraska, LB 1074 (2024), texto de la ley(nebraskalegislature.gov).gov
- Procurador General de Nebraska(ago.nebraska.gov).gov
- Ley de Privacidad del Consumidor de California, Cal. Civ. Code 1798.100 y siguientes(leginfo.legislature.ca.gov).gov