Nevada
Ley de Datos de Salud del Consumidor de Nevada (SB 370)

La ley de privacidad de datos de salud del consumidor de Nevada es un estatuto independiente que protege la información de salud que queda fuera del alcance de la HIPAA, promulgada como el Proyecto de Ley del Senado 370 en 2023 y codificada en el Capítulo 603A de los Estatutos Revisados de Nevada. Entró en vigor el 31 de marzo de 2024, y refleja de cerca la Ley My Health My Data de Washington: exige una política de privacidad de datos de salud del consumidor publicada, el consentimiento afirmativo antes de que una empresa recopile o comparta dichos datos, una autorización separada antes de cualquier venta, y prohíbe la geolocalización perimetral alrededor de los centros médicos.
A partir de 2026, la diferencia más importante respecto al modelo de Washington es el cumplimiento. La ley de Nevada no cuenta con un derecho de acción privada. Una infracción se considera una práctica comercial engañosa que solo el Procurador General de Nevada puede perseguir, y la sanción civil bajo los estatutos de protección al consumidor de Nevada llega hasta $5,000 por infracción. Esto hace que la ley de Nevada sea materialmente más fácil de defender que la de Washington, donde los demandantes privados pueden demandar directamente.
Alcance jurisdiccional: Esto cubre la ley de privacidad de datos de salud del consumidor de Nevada (SB 370, Cap. 603A de los NRS) y la SB 220 de Nevada. Se trata de información legal general, no de asesoría legal.
Qué Es la Ley de Datos de Salud del Consumidor de Nevada y Cuándo Entró en Vigor
La ley de privacidad de datos de salud del consumidor de Nevada comenzó como el Proyecto de Ley del Senado 370 durante la sesión 82 (2023) de la Legislatura de Nevada. El gobernador Joe Lombardo la firmó en junio de 2023, y fue codificada en el Capítulo 603A de los Estatutos Revisados de Nevada, el mismo capítulo que ya contenía las disposiciones de seguridad de datos y las disposiciones de privacidad anteriores de Nevada. Las secciones de datos de salud del consumidor comienzan en el NRS 603A.400, con los deberes sustantivos agrupados aproximadamente entre el NRS 603A.500 y el 603A.590.
La ley entró en vigor el 31 de marzo de 2024. Nevada no estableció una fecha de cumplimiento diferida para las pequeñas empresas, por lo que todas las entidades cubiertas enfrentaron la misma fecha de vigencia. Este inicio uniforme contrasta con Washington, que otorgó a las pequeñas empresas un período de gracia adicional antes de que comenzaran sus obligaciones.
El estatuto llena un vacío que la HIPAA deja abierto. La HIPAA rige a las entidades cubiertas, como hospitales, planes de salud y sus asociados comerciales, pero no alcanza los datos relacionados con la salud que las aplicaciones, los sitios web, los anunciantes y los corredores de datos recopilan fuera del entorno clínico. La ley de Nevada está dirigida directamente a esos datos de salud fuera del alcance de la HIPAA. Para obtener un panorama más amplio de Nevada, consulte la página principal de Leyes de Privacidad de Datos de Nevada.
Quién Está Cubierto: la Prueba de "Entidad Regulada"
La ley se aplica a una "entidad regulada". Según el Capítulo 603A de los NRS, una entidad regulada es una persona que realiza negocios en Nevada, o que produce o proporciona productos o servicios dirigidos a los consumidores de Nevada, y que determina el propósito y los medios del procesamiento, intercambio o venta de datos de salud del consumidor. El lenguaje "determina el propósito y los medios" refleja el concepto de controlador utilizado en las leyes integrales de privacidad.
Una característica definitoria es que Nevada no estableció ningún umbral numérico. Muchas leyes estatales de privacidad se aplican únicamente a las empresas que superan un piso de ingresos o un piso de número de consumidores, como 100,000 consumidores. La ley de datos de salud del consumidor de Nevada no tiene ninguno de los dos. Si una entidad cumple con la prueba de conducta y control y maneja datos de salud del consumidor, está cubierta independientemente de su tamaño.
La ley excluye los datos y las entidades ya reguladas en otros lugares, en consonancia con la estructura del capítulo. La información procesada bajo la HIPAA y los datos financieros cubiertos por la Ley Gramm-Leach-Bliley quedan fuera del régimen de datos de salud del consumidor, lo cual evita la doble regulación de los registros clínicos y financieros. El campo restante, los datos relacionados con la salud que recopilan las aplicaciones de consumo y los servicios en línea, es lo que la ley tiene como objetivo.
Qué Se Considera "Datos de Salud del Consumidor"
El estatuto define los datos de salud del consumidor de manera amplia. Se trata de información personal que está vinculada o que es razonablemente capaz de vincularse a un consumidor y que identifica el estado de salud pasado, presente o futuro del consumidor. Esa redacción sigue deliberadamente la Ley My Health My Data de Washington, de modo que ambas leyes cubran un universo similar de datos.
En la práctica, los datos de salud del consumidor van mucho más allá de los diagnósticos. Pueden incluir información sobre afecciones de salud y tratamientos, medicamentos, funciones corporales y reproductivas, atención de afirmación de género o reproductiva, datos biométricos y genéticos, y datos de geolocalización precisa que indiquen que un consumidor está buscando servicios de atención médica. Los datos que simplemente reflejan hábitos de compra comunes sin vínculo con el estado de salud generalmente quedan fuera de la definición.
Debido a que la definición depende de si los datos identifican el estado de salud, el mismo dato en bruto puede estar dentro o fuera de la definición según cómo se utilice. Los datos de ubicación que simplemente muestran una ruta no son datos de salud, pero los datos de ubicación utilizados para inferir que un consumidor visitó una clínica de salud reproductiva sí pueden serlo. Esa línea sensible al uso es la razón por la cual las entidades deben evaluar el propósito de su procesamiento, no solo las categorías de datos sobre el papel.

Deberes Centrales de una Entidad Regulada
La ley de Nevada impone un conjunto de obligaciones a las entidades reguladas. En primer lugar, una entidad debe mantener y publicar de manera destacada una política de privacidad de datos de salud del consumidor. La política debe revelar las categorías de datos de salud del consumidor recopilados y su propósito, las categorías de fuentes, las categorías compartidas y los terceros o afiliados que reciben los datos, y cómo puede un consumidor ejercer los derechos que otorga el estatuto.
En segundo lugar, una entidad generalmente debe obtener el consentimiento afirmativo y voluntario de un consumidor antes de recopilar o compartir datos de salud del consumidor, a menos que la recopilación o el intercambio sean necesarios para proporcionar un producto o servicio que el consumidor solicitó. El consentimiento debe ser específico para el propósito y no puede estar oculto en una aceptación general de términos de servicio.
En tercer lugar, la ley trata la venta de datos de salud del consumidor como una actividad de mayor riesgo. Una entidad regulada no puede vender datos de salud del consumidor sin antes obtener una autorización separada y válida del consumidor, distinta del consentimiento utilizado para la recopilación o el intercambio. La autorización debe describir los datos específicos, el destinatario y el propósito, y expira después de un período determinado.
En cuarto lugar, las entidades deben restringir el acceso a los datos de salud del consumidor de modo que solo los empleados, procesadores y contratistas que los necesiten para un propósito permitido puedan acceder a ellos, y deben aplicar salvaguardas administrativas, técnicas y físicas razonables. Cuando una entidad utiliza un procesador, debe vincular a ese procesador mediante un contrato a los mismos términos de protección.
Derechos del Consumidor Según la Ley de Nevada
El estatuto otorga a los consumidores de Nevada un conjunto de derechos que pueden ejercer frente a las entidades reguladas. Un consumidor puede confirmar si la entidad está recopilando, compartiendo o vendiendo sus datos de salud, y puede acceder a esos datos, incluida una lista de los terceros y afiliados con quienes se han compartido o a quienes se han vendido.
Un consumidor también puede solicitar la eliminación de los datos de salud del consumidor. Cuando se presenta una solicitud de eliminación válida, la entidad regulada generalmente debe eliminar los datos de sus registros y debe notificar a sus afiliados, procesadores y otros destinatarios para que también eliminen los datos, sujeto a excepciones limitadas reconocidas por la ley.
Finalmente, un consumidor que previamente dio su consentimiento puede retirarlo. Una vez retirado el consentimiento, la entidad debe detener la recopilación, el intercambio o la venta que dependía de ese consentimiento. Estos derechos (confirmar y acceder, eliminar, y retirar el consentimiento) son el núcleo de la protección orientada al consumidor y son paralelos a la estructura de derechos de la ley de Washington.

La Prohibición de Geolocalización Perimetral y el Radio de 1,750 Pies
Una de las prohibiciones más concretas de la ley es su prohibición de geolocalización perimetral alrededor de los centros de atención médica. Una geolocalización perimetral (geofence) es un límite virtual que utiliza tecnología de ubicación para detectar cuándo un dispositivo entra o sale de un área definida. El estatuto prohíbe que una persona implemente una geolocalización perimetral dentro de un radio de 1,750 pies de un centro médico o un proveedor de servicios de atención de salud en persona.
La prohibición se aplica cuando la geolocalización perimetral se utiliza para identificar o rastrear a los consumidores que buscan servicios de atención médica en persona, para recopilar datos de salud del consumidor de esos consumidores, o para enviarles notificaciones, mensajes o anuncios basados en sus datos de salud del consumidor o en su atención médica. La prohibición se mantiene incluso si el consumidor de otro modo hubiera dado su consentimiento, lo que la convierte en una prohibición absoluta y no en una regla condicionada al consentimiento.
La decisión de Nevada de especificar un radio fijo de 1,750 pies es una diferencia notable de redacción. La Ley My Health My Data de Washington prohíbe la geolocalización perimetral cerca de los centros de atención médica, pero no establece una distancia numérica en la prohibición operativa. Al incluir 1,750 pies en el estatuto, Nevada proporcionó a las empresas y al Procurador General una medida clara y precisa para aplicar.
Nevada vs. Washington: la Diferencia de la Ausencia de un Derecho de Acción Privada
Nevada modeló su ley a partir de la Ley My Health My Data de Washington, pero el diseño de cumplimiento es donde más divergen. Washington convirtió cualquier infracción de su ley en una infracción per se de la Ley de Protección al Consumidor de Washington, la cual conlleva un derecho de acción privada. Esto significa que los consumidores individuales en Washington pueden demandar directamente a las entidades reguladas, y el riesgo de litigio ha impulsado gran parte de la ansiedad de cumplimiento en torno a la ley de Washington.
Nevada adoptó el enfoque opuesto. Una infracción de la ley de datos de salud del consumidor de Nevada es una práctica comercial engañosa que solo puede ser exigida por el Procurador General de Nevada. No existe un derecho de acción privada, por lo que los consumidores no pueden presentar sus propias demandas para hacer cumplir el estatuto. El Procurador General puede buscar medidas cautelares y sanciones civiles de hasta $5,000 por infracción bajo el marco de prácticas comerciales engañosas de Nevada.
Esta única decisión de diseño cambia sustancialmente el panorama de riesgo. Ambas leyes imponen deberes sustantivos casi idénticos, pero la ausencia de cumplimiento privado en Nevada elimina la exposición a demandas colectivas que define el régimen de Washington. La siguiente tabla resume los principales contrastes.
| Característica | SB 370 de Nevada (Cap. 603A de los NRS) | MHMDA de Washington (Cap. 19.373 RCW) |
|---|---|---|
| Fecha de vigencia | 31 de marzo de 2024 (sin demora para pequeñas empresas) | 31 de marzo de 2024; pequeñas empresas 30 de junio de 2024; prohibición de geolocalización perimetral 23 de julio de 2023 |
| Parte cubierta | Entidad regulada; sin umbral de ingresos o volumen | Entidad regulada; sin umbral de ingresos o volumen |
| Consentimiento para recopilar o compartir | Requerido (con excepción de servicio solicitado) | Requerido (con excepción de servicio solicitado) |
| Autorización para vender | Se requiere autorización por escrito separada | Se requiere autorización por escrito separada |
| Radio de la prohibición de geolocalización perimetral | Dentro de 1,750 pies de un centro médico | Cerca de un centro de atención médica; sin distancia fija en la prohibición |
| Derecho de acción privada | Ninguno | Sí (infracción per se de la CPA de Washington) |
| Ente público de cumplimiento | Procurador General de Nevada | Procurador General de Washington |
| Exposición a sanciones | Hasta $5,000 por infracción (práctica comercial engañosa) | Remedios de la CPA, incluidos daños al consumidor |
Para una comparación lado a lado del panorama más amplio, consulte la página de comparación de leyes estatales de privacidad de datos y la guía dedicada a la Ley My Health My Data de Washington.
SB 220 de Nevada: la Ley Anterior de Exclusión Voluntaria de Venta
Nevada tenía una ley de privacidad en internet más limitada vigente años antes del estatuto de datos de salud del consumidor. El Proyecto de Ley del Senado 220 de la sesión de 2019 está codificado en el NRS 603A.300 al 603A.360 y entró en vigor el 1 de octubre de 2019, varios meses antes que la CCPA de California. Su alcance es mucho más limitado que el de la SB 370 y aborda un único derecho.
La SB 220 se aplica a un "operador" de un sitio web comercial o servicio en línea que recopila información cubierta de los consumidores de Nevada que usan el sitio o servicio. La información cubierta según el NRS 603A.320 es una lista definida de elementos personalmente identificables, como el nombre y apellido, una dirección física o de correo electrónico, un número de teléfono, un número de Seguro Social, o un identificador que permita contactar a una persona específica. La ley otorga a los consumidores de Nevada el derecho a presentar una solicitud verificada que indique a un operador que no venda esa información cubierta.
Los operadores deben establecer una dirección de solicitud designada para recibir estas solicitudes de exclusión voluntaria y deben responder dentro de un plazo de 60 días, con una posible prórroga de 30 días si es razonablemente necesaria y se notifica al consumidor. Al igual que la ley de datos de salud del consumidor, la SB 220 no cuenta con un derecho de acción privada. El cumplimiento recae en el Procurador General de Nevada, quien puede buscar una medida cautelar o una sanción civil de hasta $5,000 por infracción. La SB 220 se entiende mejor como una ley de exclusión voluntaria de un único derecho que coexiste junto al régimen de datos de salud del consumidor creado por la SB 370, y que es mucho más limitada que este.
More Nevada Laws
- Nevada AI Meeting Recording Laws
- Nevada Alimony Laws
- Nevada At-Will Employment Laws
- Nevada Car Accident Laws
- Nevada Car Seat Laws
- Nevada Child Custody Laws
- Nevada Child Support Laws
- Nevada Common Law Marriage Laws
- Nevada Deepfake Laws
- Nevada Divorce Laws
- Nevada Dog Bite Laws
- Nevada Emancipation Laws
- Nevada Expungement Laws
- Nevada Hit and Run Laws
- Nevada Landlord-Tenant Laws
- Nevada Lemon Laws
Guías Relacionadas
Preguntas frecuentes
¿Qué es la ley de privacidad de datos de salud del consumidor de Nevada?
Es un estatuto de Nevada promulgado como el Proyecto de Ley del Senado 370 en 2023 y codificado en el Capítulo 603A de los NRS (las disposiciones de datos de salud del consumidor en el NRS 603A.400 y siguientes). Protege la información de salud que queda fuera del alcance de la HIPAA, exige una política de privacidad publicada y el consentimiento antes de recopilar o compartir datos de salud del consumidor, exige una autorización separada antes de cualquier venta, prohíbe la geolocalización perimetral cerca de centros médicos, y otorga a los consumidores derechos de acceso, eliminación y retiro del consentimiento. Entró en vigor el 31 de marzo de 2024.
¿La ley de Nevada tiene un derecho de acción privada?
No. Esta es la diferencia más importante respecto a la Ley My Health My Data de Washington. Una infracción de la ley de Nevada es una práctica comercial engañosa que solo el Procurador General de Nevada puede hacer cumplir, con sanciones civiles de hasta $5,000 por infracción. Los consumidores no pueden demandar directamente a las entidades reguladas bajo el estatuto.
¿Cuándo entró en vigor la ley de datos de salud del consumidor de Nevada?
El 31 de marzo de 2024. A diferencia de Washington, Nevada no otorgó a las pequeñas empresas una fecha de cumplimiento diferida, por lo que todas las entidades reguladas cubiertas enfrentaron la misma fecha de vigencia.
¿Quién debe cumplir con la ley?
Una entidad regulada, definida como una persona que realiza negocios en Nevada o dirige productos o servicios a los consumidores de Nevada y que determina el propósito y los medios del procesamiento de datos de salud del consumidor. No existe un umbral de ingresos ni de volumen de datos, por lo que el tamaño no exime a una entidad. Los datos ya regidos por la HIPAA o la Ley Gramm-Leach-Bliley quedan excluidos.
¿Qué son los datos de salud del consumidor según la ley de Nevada?
Información personal que está vinculada o que es razonablemente capaz de vincularse a un consumidor y que identifica el estado de salud pasado, presente o futuro del consumidor. Puede incluir afecciones de salud, tratamientos, medicamentos, atención reproductiva o de afirmación de género, datos biométricos y genéticos, y datos de ubicación precisa que indiquen que un consumidor está buscando atención médica. La definición sigue de cerca la Ley My Health My Data de Washington.
¿Cuál es la regla de geolocalización perimetral?
La ley prohíbe que una persona utilice una geolocalización perimetral dentro de un radio de 1,750 pies de un centro médico o proveedor de servicios de atención de salud en persona para identificar o rastrear a los consumidores que buscan atención, recopilar datos de salud del consumidor, o enviar mensajes o anuncios relacionados con la salud. Nevada especifica el radio de 1,750 pies en el estatuto, mientras que la ley de Washington prohíbe la geolocalización perimetral de atención médica sin establecer una distancia fija.
¿Puede una empresa vender datos de salud del consumidor en Nevada?
Solo con una autorización por escrito separada y válida del consumidor, distinta del consentimiento utilizado para recopilar o compartir los datos. La autorización debe describir los datos específicos, el destinatario y el propósito, y expira después de un período determinado. Sin esa autorización, la venta de datos de salud del consumidor está prohibida.
¿Qué es la SB 220 de Nevada y en qué se diferencia?
La SB 220 (2019), codificada en el NRS 603A.300 al 603A.360, es una ley anterior y mucho más limitada. Permite que un consumidor de Nevada indique a un operador de un sitio web o servicio en línea que no venda su información cubierta, y el operador debe responder dentro de un plazo de 60 días. Cubre únicamente la exclusión voluntaria de venta, no los amplios deberes de datos de salud de la SB 370. Al igual que la SB 370, no cuenta con un derecho de acción privada y es exigida por el Procurador General con sanciones de hasta $5,000 por infracción.
Fuentes y referencias
- SB 370 de Nevada (Sesión 82, 2023): Texto Promulgado del Proyecto de Ley(leg.state.nv.us).gov
- SB 370 de Nevada (Sesión 82, 2023): Resumen e Historial del Proyecto de Ley(leg.state.nv.us).gov
- Capítulo 603A de los Estatutos Revisados de Nevada: Seguridad y Privacidad de la Información Personal(leg.state.nv.us).gov
- NRS 603A.500 al 603A.590: Datos de Salud del Consumidor (deberes operativos)(leg.state.nv.us).gov
- Oficina del Procurador General de Nevada: Oficina de Protección al Consumidor(ag.nv.gov).gov
- SB 220 de Nevada (Sesión 80, 2019): Texto Promulgado del Proyecto de Ley (NRS 603A.300 al 603A.360)(leg.state.nv.us).gov
- SB 220 de Nevada (Sesión 80, 2019): Resumen e Historial del Proyecto de Ley(leg.state.nv.us).gov
- Ley My Health My Data de Washington, Capítulo 19.373 RCW (Capítulo Completo)(app.leg.wa.gov).gov