Nevada
Leyes de Privacidad de Datos de Nevada: Guía de la SB 220 y Derechos del Consumidor (2026)

Nevada no cuenta con una ley integral de privacidad de datos, pero el Capítulo 603A de los NRS otorga a los residentes protecciones por niveles: la SB 220 (NRS 603A.300) concede el derecho a excluirse de la venta de datos en línea, el NRS 603A.220 exige la notificación de violaciones de datos, y la SB 370 (NRS 603A.400) exige el consentimiento antes de recopilar datos de salud del consumidor.
Nevada ha construido un marco por niveles de protecciones de privacidad de datos a través del Capítulo 603A de los NRS. El estado no cuenta con una única ley integral de privacidad que cubra todos los datos personales, pero su combinación de estatutos específicos abarca la venta de datos en línea, la seguridad de datos, la notificación de violaciones, la información de salud del consumidor, la protección de tarjetas de pago y la seguridad de datos de seguros.
Esta guía cubre todos los estatutos principales de privacidad de datos de Nevada actualmente vigentes, los derechos que estas leyes le otorgan como consumidor, las obligaciones que imponen a las empresas y las leyes federales que se aplican independientemente de la acción estatal.
El enfoque de Nevada difiere de los estados con leyes integrales como California, Virginia y Colorado en un aspecto importante: las protecciones son más limitadas y específicas, pero se aplican a empresas de todos los tamaños. La SB 220 no tiene un umbral de ingresos. Cualquier operador con un sitio web comercial que recopile datos de residentes de Nevada debe cumplir con la ley.
Capítulo 603A de los NRS: El Marco Central de Privacidad de Datos de Nevada
Todas las principales protecciones de privacidad de datos de Nevada se encuentran en el Capítulo 603A de los Estatutos Revisados de Nevada, titulado "Seguridad y Privacidad de la Información Personal". El capítulo se fue construyendo a lo largo de múltiples sesiones legislativas desde 2005, con adiciones importantes en 2019, 2021 y 2023.
El capítulo abarca tres áreas generales. El NRS 603A.010 al 603A.290 aborda la seguridad de datos y la notificación de violaciones. El NRS 603A.300 al 603A.360 aborda el derecho de exclusión voluntaria de privacidad en línea. El NRS 603A.400 al 603A.920 aborda la privacidad de los datos de salud del consumidor.
Cada área conlleva sus propias definiciones, obligaciones y mecanismos de cumplimiento.
Proyecto de Ley del Senado 220: El Derecho a Excluirse de la Venta de Datos
El Proyecto de Ley del Senado 220 de Nevada fue firmado en mayo de 2019 y entró en vigor el 1 de octubre de 2019. Con ello, Nevada se convirtió en el primer estado en promulgar una ley de exclusión voluntaria de privacidad en línea.
La SB 220 está codificada en el NRS 603A.300 al 603A.360. Otorga a los consumidores de Nevada un derecho específico: la capacidad de indicar a las empresas en línea que no vendan su información personal identificable.

A Quién Cubre la Ley
La SB 220 se aplica a los "operadores" según el NRS 603A.330: personas que son propietarias u operan un sitio web comercial de internet o un servicio en línea, que recopilan y mantienen información cubierta de residentes de Nevada que usan o visitan el sitio web o servicio, y que tienen un nexo constitucional suficiente con Nevada.
Esta definición es intencionalmente amplia. Cualquier sitio web comercial que recopile datos personales de residentes de Nevada y tenga una conexión constitucional con el estado debe cumplir con la ley. A diferencia de la CCPA, la SB 220 no establece umbrales de ingresos ni volúmenes mínimos de procesamiento de datos.
Qué Se Considera Información Cubierta
"Información cubierta" bajo el NRS 603A.320 significa cualquier información personal identificable recopilada a través de un sitio web de internet o un servicio en línea y mantenida en forma accesible. Esto incluye el nombre, la dirección residencial, la dirección de correo electrónico, el número de teléfono, el número de Seguro Social y cualquier otra información mantenida en combinación con un identificador que la haga personalmente identificable.
Qué Se Considera una Venta
Nevada define "venta" de manera restringida bajo el NRS 603A.335: el intercambio de información cubierta a cambio de una contraprestación monetaria con otra persona, para que esa persona otorgue licencias o venda la información. La definición abarca únicamente el dinero. Los intercambios de datos por beneficios no monetarios, como asociaciones de analítica o servicios mejorados, quedan fuera del derecho de exclusión voluntaria.
Cómo Ejercer el Derecho de Exclusión Voluntaria
Según el NRS 603A.345, cada operador debe establecer una dirección de solicitud designada (correo electrónico, número gratuito o página web) donde los consumidores puedan enviar solicitudes verificadas de exclusión voluntaria. Una vez recibida una solicitud válida, el operador debe dejar de vender los datos de ese consumidor y responder dentro de un plazo de 60 días. Existe una prórroga de 30 días disponible si el operador notifica al consumidor.
Exenciones
Las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley y las entidades sujetas a la HIPAA están exentas de las disposiciones de exclusión voluntaria de la SB 220. La información regulada por la Ley de Informe Justo de Crédito también queda excluida.
SB 260: Ampliación de la Cobertura a los Corredores de Datos
En 2021, el Proyecto de Ley del Senado 260 amplió el derecho de exclusión voluntaria a los corredores de datos. Antes de la SB 260, la ley se aplicaba únicamente a los operadores que recopilaban datos a través de sus propios sitios web dirigidos al consumidor. La SB 260 añadió una categoría que cubre a las entidades que recopilan, agregan o venden datos de consumidores sin operar un sitio dirigido al consumidor.
La SB 260 también perfeccionó los requisitos de aviso bajo el NRS 603A.340. Los operadores deben poner a disposición información, de una manera razonablemente calculada para ser accesible a los consumidores, que revele qué información cubierta recopilan y cómo la utilizan.
Las enmiendas de 2021 conservaron el período de subsanación de 30 días para infracciones por primera vez.
Requisitos de Seguridad de Datos Según el NRS 603A
Las obligaciones de seguridad de datos de Nevada se aplican a cualquier "recopilador de datos" que mantenga registros que contengan información personal de residentes de Nevada.
Medidas de Seguridad Razonables
El NRS 603A.210 exige que todo recopilador de datos implemente y mantenga medidas de seguridad razonables para proteger los registros contra el acceso, adquisición, destrucción, uso, modificación o divulgación no autorizados. El estatuto no prescribe normas técnicas específicas. La razonabilidad se evalúa caso por caso según la naturaleza, el alcance y la sensibilidad de los datos que se poseen.
Cifrado y Cumplimiento de PCI
El NRS 603A.215 impone requisitos más específicos en dos áreas.
Para las empresas que aceptan tarjetas de pago, la ley exige el cumplimiento de la norma vigente de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, por sus siglas en inglés). Nevada fue uno de los primeros estados en exigir el cumplimiento del PCI DSS por estatuto.

Para las transferencias electrónicas de información personal fuera de un sistema seguro, los recopiladores de datos deben usar tecnología de cifrado que cumpla con las Normas Federales de Procesamiento de la Información (FIPS) del Instituto Nacional de Normas y Tecnología (NIST) o normas equivalentes establecidas. También se requiere una gestión adecuada de las claves criptográficas.
Destrucción de Información Personal
Cuando un recopilador de datos ya no necesita información personal, la ley de Nevada exige medidas razonables para garantizar la destrucción de esos registros, como triturar los registros físicos o borrar electrónicamente los datos digitales.
Notificación de Violación de Datos: NRS 603A.220
Los requisitos de notificación de violación de datos de Nevada en el NRS 603A.220 se aplican a cualquier recopilador de datos que sea propietario o tenga licencia de datos computarizados que contengan información personal.
Qué Activa la Notificación
Una "violación de la seguridad de los datos del sistema" es la adquisición no autorizada de datos computarizados que compromete materialmente la seguridad, confidencialidad o integridad de la información personal. No todo acceso no autorizado activa la obligación. El compromiso debe ser lo suficientemente significativo como para afectar de manera considerable la seguridad o integridad de los datos.
Información Personal para Fines de Notificación de Violaciones
Para efectos de la notificación de violaciones, el NRS 603A.040 define la información personal como el nombre o la inicial del nombre y el apellido de una persona natural, combinados con cualquiera de los siguientes elementos de datos no cifrados: número de Seguro Social; número de licencia de conducir, tarjeta de autorización de conductor o tarjeta de identificación; número de cuenta, tarjeta de crédito o tarjeta de débito combinado con un código de seguridad requerido; o número de identificación médica o de seguro de salud.
Plazo y Métodos de Notificación
Nevada no impone un número específico de días. El NRS 603A.220 exige la divulgación "en el tiempo más expedito posible y sin demora injustificada". Dos excepciones permiten una demora: las necesidades legítimas de las fuerzas del orden y las medidas necesarias para determinar el alcance de la violación y restaurar la integridad del sistema.
La notificación puede ser escrita, electrónica (con el consentimiento previo del consumidor) o una notificación sustituta cuando la notificación directa no sea práctica porque la población afectada supere las 500,000 personas o el costo supere los $250,000. La notificación sustituta requiere correo electrónico cuando esté disponible, publicación destacada en el sitio web y notificación a los principales medios de comunicación a nivel estatal.
Sanciones por Incumplimiento de la Notificación
Una infracción de las disposiciones de notificación de violaciones constituye una práctica comercial engañosa bajo el NRS 598.0903 a 598.0999, lo que expone a los infractores a sanciones civiles y medidas cautelares. Según el NRS 603A.270, un recopilador de datos que prevalezca en una acción civil puede recuperar los costos razonables de notificación, los honorarios de abogados y, cuando corresponda, daños punitivos.
Privacidad de los Datos de Salud del Consumidor: SB 370
El Proyecto de Ley del Senado 370 de Nevada, aprobado en 2023 y vigente desde el 31 de marzo de 2024, añadió el NRS 603A.400 al 603A.920. Esta ley crea uno de los marcos más sólidos del país para los datos de salud del consumidor, basado en gran medida en la Ley My Health My Data de Washington.

Quién Debe Cumplir
La SB 370 se aplica a las "entidades reguladas": cualquier entidad que realice negocios en Nevada o que produzca o proporcione productos o servicios dirigidos a residentes de Nevada, y que recopile, procese, comparta o venda datos de salud del consumidor. La ley alcanza a las aplicaciones de salud, los rastreadores de actividad física, los monitores de fertilidad, las plataformas de salud mental y cualquier empresa que maneje datos de salud del consumidor fuera del alcance de la HIPAA.
Qué Califica como Datos de Salud del Consumidor
El NRS 603A.430 define los datos de salud del consumidor de manera amplia como información vinculada o razonablemente capaz de vincularse a un consumidor que identifica el estado de salud pasado, presente o futuro de ese consumidor. Las categorías cubiertas incluyen afecciones y diagnósticos de salud, intervenciones sociales o psicológicas, cirugías y procedimientos, adquisición y uso de medicamentos, funciones corporales y signos vitales, información sobre atención de salud reproductiva o sexual, información sobre atención de afirmación de género, y datos biométricos o genéticos relacionados con la salud.
Requisitos de Consentimiento y Autorización
La SB 370 prohíbe, en general, recopilar y compartir datos de salud del consumidor sin el consentimiento afirmativo y voluntario del consumidor. La venta de datos de salud del consumidor requiere una autorización por escrito del consumidor, un estándar más alto que el simple consentimiento. Las empresas no pueden recopilar primero los datos de salud y esperar a que los consumidores se opongan. El permiso debe obtenerse antes de que comience la recopilación.
Restricciones de Geolocalización Perimetral
La SB 370 prohíbe implementar una geolocalización perimetral (geofence) dentro de un radio de 1,750 pies de cualquier centro médico, centro para personas dependientes u otra entidad que proporcione servicios o productos de atención de salud en persona, con el fin de identificar o rastrear a los consumidores que buscan atención, recopilar sus datos de salud, o enviarles notificaciones o anuncios relacionados con la salud.
Esta disposición aborda directamente las preocupaciones sobre el rastreo basado en la ubicación cerca de clínicas de salud reproductiva.
Requisitos de la Política de Privacidad
Las entidades reguladas deben desarrollar, mantener y publicar una política de privacidad de datos de salud del consumidor que revele las categorías de datos de salud del consumidor recopilados y sus fuentes, las categorías compartidas y sus destinatarios, y cómo se usarán y procesarán los datos.
Derechos del Consumidor Según la SB 370
Los consumidores pueden solicitar confirmación de si una entidad regulada está recopilando, compartiendo o vendiendo sus datos de salud del consumidor. Si se está realizando la recopilación, los consumidores pueden solicitar una lista de todos los terceros que recibieron sus datos. Las entidades reguladas deben responder dentro de un plazo de 45 días después de autenticar la solicitud.
Seguridad de Datos para los Datos de Salud
Las entidades reguladas deben limitar el acceso de los empleados y procesadores a los datos de salud del consumidor, y establecer, implementar y mantener políticas de seguridad que protejan su confidencialidad e integridad.
Ley de Seguridad de Datos de Seguros de Nevada
La Ley de Seguridad de Datos de Seguros de Nevada, codificada en el Capítulo 679C de los NRS, exige que los titulares de licencias de seguros desarrollen, implementen y mantengan un programa integral y por escrito de seguridad de la información basado en la evaluación de riesgos del titular de la licencia. La ley está basada en la Ley Modelo de Seguridad de Datos de Seguros de la Asociación Nacional de Comisionados de Seguros (NAIC, por sus siglas en inglés).
Los titulares de licencias cubiertos también deben establecer y mantener un plan de respuesta a incidentes de ciberseguridad. Al descubrir un incidente de ciberseguridad que afecte a 250 o más residentes de Nevada, el titular de la licencia debe notificar a la División de Seguros de Nevada dentro de un plazo de 72 horas. La notificación a los consumidores afectados debe seguir en el tiempo más expedito posible. El Comisionado de Seguros puede examinar e investigar a los titulares de licencias para verificar el cumplimiento y puede imponer sanciones administrativas por infracciones.
Legislación Pendiente: Ley de Privacidad del Consumidor de Nevada
Durante las sesiones legislativas de 2023 y 2025, Nevada consideró pero no aprobó un proyecto de ley integral de privacidad del consumidor. A partir de mayo de 2026, no se ha promulgado ninguna Ley de Privacidad del Consumidor de Nevada de carácter integral. Se ha presentado legislación basada en el marco de la Ley de Protección de Datos del Consumidor de Virginia, pero no ha sido aprobada.
Los residentes de Nevada que buscan derechos más amplios de acceso, corrección y eliminación deben recurrir a la CCPA de California cuando sea aplicable (para las empresas también cubiertas por la CCPA), a la ley federal o a derechos contractuales.
Consulte el buscador de proyectos de ley de la Legislatura de Nevada para conocer las actualizaciones sobre cualquier legislación de privacidad que se vuelva a presentar.
Nevada y la CCPA: Diferencias Clave
La SB 220 de Nevada y la CCPA de California se comparan con frecuencia porque ambas abordan la venta de datos de consumidores. Las diferencias son significativas.
Alcance de la cobertura: la CCPA se aplica a toda la información personal, independientemente del canal de recopilación. La SB 220 cubre únicamente la información personal identificable recopilada a través de un sitio web de internet o un servicio en línea. La recopilación de datos fuera de línea queda fuera del alcance de la SB 220.
Umbrales de tamaño de empresa: la CCPA se aplica únicamente a las empresas que cumplen con umbrales específicos de ingresos o volumen de datos. La SB 220 se aplica a todos los operadores independientemente de su tamaño.
Derechos del consumidor: la CCPA otorga a los consumidores derechos de acceso, eliminación y exclusión voluntaria de la venta de datos. La SB 220 solo proporciona el derecho de exclusión voluntaria.
Definición de venta: California define la venta para incluir los intercambios por contraprestación monetaria u otra contraprestación de valor. Nevada limita la definición únicamente a la contraprestación monetaria.
Cumplimiento: la CCPA permite multas de $2,500 por infracción no intencional y $7,500 por infracción intencional. Las disposiciones de la SB 220 de Nevada conllevan sanciones civiles de hasta $5,000 por infracción.
Derecho de acción privada: la CCPA incluye un derecho de acción privada limitado para las violaciones de datos. La SB 220 no crea ningún derecho de acción privada.
Leyes Federales de Privacidad y Nevada
Varios estatutos federales operan junto con las protecciones estatales de Nevada. Estas leyes, en general, no reemplazan los requisitos de Nevada, a menos que la ley estatal entre en conflicto directo con las disposiciones federales.
Ley TAKE IT DOWN (Pub. L. 119-12). El Congreso firmó esta ley el 19 de mayo de 2025. La ley penalizó de inmediato la publicación no consensuada de imágenes íntimas, incluidas las imágenes de deepfake generadas por IA. Las plataformas en línea tuvieron un año para establecer procesos de notificación y eliminación. La FTC comenzó a hacer cumplir las obligaciones de cumplimiento de las plataformas el 19 de mayo de 2026. Una plataforma cubierta debe eliminar el contenido sujeto a una solicitud válida de retiro, junto con las copias idénticas conocidas, dentro de un plazo de 48 horas.
HIPAA. La Ley de Portabilidad y Responsabilidad del Seguro Médico rige la información de salud que poseen las entidades cubiertas y sus asociados comerciales. La HIPAA no cubre a muchas entidades que quedan bajo la SB 370 de Nevada, razón por la cual la SB 370 fue necesaria.
GLBA. La Ley Gramm-Leach-Bliley exige que las instituciones financieras expliquen sus prácticas de intercambio de información y protejan los datos sensibles. Las instituciones financieras y sus afiliados están exentos de las disposiciones de exclusión voluntaria de la SB 220.
COPPA. La Ley de Protección de la Privacidad Infantil en Línea restringe la recopilación en línea de información personal de menores de 13 años. La COPPA opera de manera independiente de las leyes de privacidad de datos de Nevada.
FCRA. La Ley de Informe Justo de Crédito regula la recopilación, difusión y uso de la información crediticia del consumidor. La información regulada por la FCRA queda excluida de la cobertura de la SB 220.
Sección 5 de la Ley de la FTC. La Comisión Federal de Comercio puede perseguir actos o prácticas desleales o engañosas en materia de seguridad y privacidad de datos. La FTC tiene autoridad independientemente de si existe una acción de cumplimiento estatal pendiente.
APRA. La Ley de Derechos de Privacidad de Estados Unidos, un proyecto de ley federal integral de privacidad de carácter bipartidista, se presentó en abril de 2024, pero no fue aprobada antes de que expirara el 118 Congreso en enero de 2025. A partir de mayo de 2026, no se ha promulgado ningún proyecto de ley equivalente en el 119 Congreso. Los residentes de Nevada no deben esperar una legislación federal integral de privacidad en el corto plazo.
Cumplimiento y Sanciones
El marco de cumplimiento de Nevada varía según la sección del estatuto.
Cumplimiento de la SB 220 (NRS 603A.300 a .360)
El Procurador General de Nevada tiene la autoridad exclusiva para hacer cumplir las disposiciones de exclusión voluntaria de privacidad en línea. Un tribunal de distrito puede imponer sanciones civiles de hasta $5,000 por infracción. No existe un derecho de acción privada. Los infractores por primera vez reciben un período de subsanación de 30 días.
Cumplimiento de la Notificación de Violaciones (NRS 603A.010 a .290)
Las infracciones constituyen prácticas comerciales engañosas bajo el Capítulo 598 de los NRS. El Procurador General y los fiscales de distrito pueden perseguir medidas cautelares, sanciones civiles y restitución al consumidor.
Cumplimiento de la SB 370 (NRS 603A.400 a .920)
Las disposiciones de datos de salud del consumidor solo pueden ser exigidas por el Procurador General. La SB 370 no crea un derecho de acción privada.
Acciones de Cumplimiento Destacadas
La oficina del Procurador General de Nevada ha participado en importantes acciones de cumplimiento de violaciones de datos a nivel multiestatal. En 2019, la oficina se unió a otros 49 procuradores generales en un acuerdo de $600 millones con Equifax por la violación de datos de 2017 que afectó a 147 millones de estadounidenses. En 2022, la oficina se unió a un acuerdo de $1.25 millones con Carnival Cruise Line por una violación de datos de 2019.
No se han anunciado acciones formales públicas de cumplimiento por parte del Procurador General bajo la SB 370 a partir de mayo de 2026.
Lista de Verificación de Cumplimiento para Empresas
Las empresas que operan en Nevada o que manejan datos de residentes de Nevada deben abordar todo lo siguiente.
Cumplimiento de la SB 220: Establezca una dirección de solicitud designada donde los consumidores puedan enviar solicitudes de exclusión voluntaria. Responda a las solicitudes verificadas dentro de un plazo de 60 días. Publique un aviso que revele qué información cubierta recopila y cómo la utiliza. Deje de vender la información cubierta de cualquier consumidor que presente una solicitud válida de exclusión voluntaria.
Cumplimiento de seguridad de datos: Implemente y mantenga medidas de seguridad razonables. Si acepta tarjetas de pago, cumpla con la norma PCI DSS vigente. Use cifrado conforme a las normas del NIST para las transferencias electrónicas. Mantenga una gestión adecuada de las claves. Use métodos de destrucción razonables para los registros que ya no sean necesarios.
Cumplimiento de notificación de violaciones: Desarrolle y ponga a prueba un plan de respuesta a incidentes. Notifique a los residentes afectados de Nevada en el tiempo más expedito posible después de descubrir una violación. Notifique a los propietarios de los datos si usted mantiene información personal que no le pertenece. Use métodos de notificación aprobados.

Cumplimiento de datos de salud del consumidor (si corresponde): Obtenga el consentimiento afirmativo antes de recopilar o compartir datos de salud del consumidor. Obtenga una autorización por escrito antes de vender datos de salud del consumidor. Publique una política de privacidad de datos de salud del consumidor. Responda a las solicitudes de los consumidores dentro de un plazo de 45 días. No implemente geolocalizaciones perimetrales dentro de un radio de 1,750 pies de centros de atención médica. Limite el acceso de los empleados y mantenga políticas de seguridad.
Cumplimiento de seguridad de datos de seguros (si corresponde): Si usted posee una licencia de seguros de Nevada, implemente un programa de seguridad de la información por escrito, mantenga un plan de respuesta a incidentes de ciberseguridad y notifique a la División de Seguros dentro de un plazo de 72 horas ante un incidente de ciberseguridad que afecte a 250 o más residentes de Nevada.
Cómo Ejercen sus Derechos los Residentes de Nevada
Para excluirse de la venta de datos bajo la SB 220, localice la dirección de solicitud designada del operador, que puede estar etiquetada como "No Vender Mi Información Personal" o un texto similar. Presente una solicitud verificada. El operador debe responder dentro de un plazo de 60 días.
Para solicitar la confirmación o eliminación de datos de salud del consumidor bajo la SB 370, comuníquese directamente con la entidad regulada. Esta debe responder dentro de un plazo de 45 días después de autenticar su solicitud.
Para reportar a una empresa que usted cree que ha infringido las leyes de privacidad de datos de Nevada, presente una queja ante la Oficina de Protección al Consumidor del Procurador General de Nevada. Para posibles infracciones de la Ley TAKE IT DOWN por parte de plataformas, presente un informe ante la FTC.
Las leyes de grabación de Nevada, codificadas en el NRS 200.620, también se cruzan con la privacidad de datos en materia de vigilancia de audio y video. Nevada es un estado de consentimiento bipartito para la interceptación de comunicaciones telefónicas y orales.
More Nevada Laws
- Nevada AI Meeting Recording Laws
- Nevada Alimony Laws
- Nevada At-Will Employment Laws
- Nevada Car Accident Laws
- Nevada Car Seat Laws
- Nevada Child Custody Laws
- Nevada Child Support Laws
- Nevada Common Law Marriage Laws
- Nevada Deepfake Laws
- Nevada Divorce Laws
- Nevada Dog Bite Laws
- Nevada Emancipation Laws
- Nevada Expungement Laws
- Nevada Hit and Run Laws
- Nevada Landlord-Tenant Laws
- Nevada Lemon Laws
Preguntas frecuentes
¿Nevada tiene una ley integral de privacidad de datos como la CCPA?
Nevada no cuenta con una única ley integral de privacidad del consumidor a partir de mayo de 2026. En su lugar, el estado utiliza un enfoque por niveles a través del Capítulo 603A de los NRS, que incluye la SB 220 para un derecho de exclusión voluntaria de la venta de datos en línea, requisitos generales de seguridad de datos y notificación de violaciones, y la SB 370 para los datos de salud del consumidor. A diferencia de la CCPA, las leyes de Nevada no otorgan a los consumidores derechos amplios de acceso o eliminación de todos los datos personales que poseen las empresas.
¿Cómo puedo excluirme de que una empresa venda mis datos personales en Nevada?
Según el NRS 603A.345, usted puede presentar una solicitud verificada a cualquier operador que recopile su información personal identificable a través de su sitio web o servicio en línea. El operador debe proporcionar una dirección de solicitud designada, que puede ser una dirección de correo electrónico, un número de teléfono gratuito o una página en su sitio web. Una vez que el operador reciba su solicitud, tiene 60 días para responder y debe dejar de vender sus datos. No hay ningún costo por presentar una solicitud.
¿Qué debo hacer si mis datos personales son violados por una empresa de Nevada?
Si recibe una notificación de violación de datos, cambie de inmediato las contraseñas de las cuentas comprometidas y supervise sus estados de cuenta financieros e informes de crédito. Puede colocar una alerta de fraude o un congelamiento de crédito con las tres principales agencias de crédito (Equifax, Experian, TransUnion) sin costo alguno. Si cree que una empresa no le notificó como se requiere, presente una queja ante la Oficina de Protección al Consumidor del Procurador General de Nevada en ag.nv.gov.
¿La ley de privacidad de datos de salud de Nevada se aplica a mi rastreador de actividad física o aplicación de salud?
Sí. La SB 370 se aplica a cualquier entidad regulada que recopile datos de salud del consumidor, incluso si la entidad no es un proveedor de atención médica tradicional cubierto por la HIPAA. Si un rastreador de actividad física, una aplicación de salud mental o una plataforma de bienestar recopila datos sobre sus afecciones de salud, medicamentos, signos vitales o salud reproductiva, y realiza negocios en Nevada o se dirige a residentes de Nevada, debe cumplir con los requisitos de consentimiento y privacidad de la SB 370.
¿Puedo demandar a una empresa en Nevada por violar mis derechos de privacidad de datos?
La SB 220 y la SB 370 de Nevada no crean un derecho de acción privada. Solo el Procurador General de Nevada puede hacer cumplir esas disposiciones. Las infracciones de notificación de violaciones de datos se consideran prácticas comerciales engañosas bajo el Capítulo 598 de los NRS, lo cual puede sustentar acciones civiles por parte del Procurador General o los fiscales de distrito. Si cree que se han violado sus derechos, presente una queja ante el Procurador General de Nevada.
¿Qué es la Ley de Seguridad de Datos de Seguros de Nevada y a quién cubre?
La Ley de Seguridad de Datos de Seguros de Nevada (Capítulo 679C de los NRS) se aplica a las entidades que poseen una licencia de seguros emitida por Nevada, incluidas las aseguradoras, agentes, corredores y otros titulares de licencias. Exige que las entidades cubiertas desarrollen y mantengan un programa de seguridad de la información por escrito, establezcan un plan de respuesta a incidentes de ciberseguridad y notifiquen a la División de Seguros de Nevada dentro de un plazo de 72 horas ante un incidente de ciberseguridad que afecte a 250 o más residentes de Nevada.
¿Qué significa la Ley TAKE IT DOWN para los residentes de Nevada?
La Ley TAKE IT DOWN (Pub. L. 119-12), firmada el 19 de mayo de 2025, es una ley federal que penalizó de inmediato el intercambio no consensuado de imágenes íntimas, incluidos los deepfakes generados por IA. A partir del 19 de mayo de 2026, las plataformas en línea cubiertas deben eliminar dichas imágenes dentro de las 48 horas posteriores a una solicitud válida de retiro, y la FTC hace cumplir esa obligación. Los residentes de Nevada pueden presentar solicitudes de retiro directamente a las plataformas y reportar el incumplimiento a la FTC en reportfraud.ftc.gov.
¿Nevada reconoce el [Global Privacy](/world-laws/world-data-privacy-laws) Control o un Mecanismo Universal de Exclusión Voluntaria?
No. La SB 220 de Nevada no exige que los operadores reconozcan las señales de Global Privacy Control (GPC) ni ningún otro Mecanismo Universal de Exclusión Voluntaria. Para ejercer el derecho de exclusión voluntaria de Nevada, los consumidores deben presentar una solicitud verificada a través de la dirección de solicitud designada del operador. Esto contrasta con Colorado, Connecticut y Oregón, que exigen que las empresas respeten las señales del navegador GPC como una exclusión voluntaria válida.
Fuentes y referencias
- Capítulo 603A de los NRS - Seguridad y Privacidad de la Información Personal(leg.state.nv.us).gov
- Proyecto de Ley del Senado 220 de Nevada (2019) - Texto Promulgado(leg.state.nv.us).gov
- Proyecto de Ley del Senado 260 de Nevada (2021) - Texto Promulgado(leg.state.nv.us).gov
- Proyecto de Ley del Senado 370 de Nevada (2023) - Texto Promulgado(leg.state.nv.us).gov
- Procurador General de Nevada - Información sobre la SB 220(ag.nv.gov).gov
- Procurador General de Nevada - Aviso sobre Violaciones de Datos(ag.nv.gov).gov
- Lista de Verificación de Cumplimiento del NRS 603A - Procurador General de Nevada(ag.nv.gov).gov
- Procurador General de Nevada - Acuerdo sobre la Violación de Datos de Equifax(ag.nv.gov).gov
- Procurador General de Nevada - Acuerdo sobre la Violación de Datos de Carnival Cruise Line(ag.nv.gov).gov
- Procurador General de Nevada - Anuncio del Grupo de Trabajo Cibernético(ag.nv.gov).gov
- HIPAA - Departamento de Salud y Servicios Humanos de EE. UU.(hhs.gov).gov
- Ley Gramm-Leach-Bliley - Comisión Federal de Comercio(ftc.gov).gov
- Regla COPPA - Comisión Federal de Comercio(ftc.gov).gov
- Ley de Informe Justo de Crédito - Comisión Federal de Comercio(ftc.gov).gov
- Instituto Nacional de Normas y Tecnología (NIST)(nist.gov).gov
- Capítulo 598 de los NRS - Prácticas Comerciales Engañosas(leg.state.nv.us).gov
- Preemption and Privacy Law - Servicio de Investigación del Congreso(congress.gov).gov
- Capítulo 679C de los NRS - Seguridad de Datos de Seguros(leg.state.nv.us).gov
- Presentar una Queja ante el Procurador General de Nevada - Oficina de Protección al Consumidor(ag.nv.gov).gov
- Ley TAKE IT DOWN - Biblioteca Legal de la FTC(ftc.gov).gov
- Buscador de Proyectos de Ley de la Legislatura de Nevada - Sesión 83 (2025)(leg.state.nv.us).gov
- Portal de Reporte de Fraude de la FTC(reportfraud.ftc.gov).gov