New Hampshire
Lista de Verificación de Cumplimiento de la NHDPA: RSA 507-H de Nuevo Hampshire

Las empresas sujetas a la Ley de Privacidad de Datos de Nuevo Hampshire (NHDPA), codificada en RSA Capítulo 507-H, deben aplicar una prueba de aplicabilidad frente a los umbrales bajos de la ley, publicar un aviso de privacidad conforme, obtener consentimiento de exclusión voluntaria previa (opt-in) antes de procesar datos sensibles, reconocer una señal de preferencia de exclusión universal, completar evaluaciones de protección de datos para el procesamiento de alto riesgo y firmar contratos de procesamiento de datos con sus proveedores. Esta lista de verificación recorre cada paso a partir de 2026.
Las consecuencias de aplicación aumentaron en 2026. El derecho de subsanación de 60 días en el que confiaban los controladores durante 2025 venció el 31 de diciembre de 2025, por lo que el Fiscal General de Nuevo Hampshire ahora puede iniciar una acción sin ofrecer primero una ventana garantizada para corregir el problema. Las infracciones se tratan como actos ilegales bajo la Ley de Protección al Consumidor, RSA 358-A, que permite sanciones civiles de hasta $10,000 por infracción.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos de Nuevo Hampshire (RSA Capítulo 507-H). Es información legal general, no asesoría legal.
Paso 1: Aplique la prueba de aplicabilidad
La primera tarea es determinar si la NHDPA aplica en absoluto. Según RSA 507-H:2, la ley cubre a una persona que hace negocios en Nuevo Hampshire, o que produce productos o servicios dirigidos a residentes de Nuevo Hampshire, y que durante un período de un año controló o procesó los datos personales de 35,000 o más consumidores únicos, o de 10,000 o más consumidores mientras obtiene más del 25 por ciento de los ingresos brutos de la venta de datos personales.
La característica definitoria de esta prueba es el bajo umbral de 35,000 consumidores. La mayoría de las leyes estatales de privacidad establecen su umbral principal en 100,000 consumidores, por lo que una empresa que escapa a la cobertura en estados más grandes puede seguir estando cubierta en Nuevo Hampshire. Tampoco hay un piso de ingresos en dólares para el primer disparador, por lo que una empresa que supera el conteo de 35,000 consumidores está cubierta independientemente de sus ingresos.
Al contar los consumidores hacia el umbral de 35,000, excluya los datos personales controlados o procesados únicamente con el fin de completar una transacción de pago. Una empresa con presencia nacional no debe asumir que está por debajo del umbral en Nuevo Hampshire solo porque lo está en un estado más grande; el umbral más bajo a menudo la incluye. La descripción general de la NHDPA de Nuevo Hampshire explica por qué esta red es más amplia que la mayoría.
Paso 2: Revise las exenciones de entidad
Antes de construir un programa completo, confirme que la organización no esté exenta a nivel de entidad según RSA 507-H:3. Nuevo Hampshire otorga exenciones de entidad más amplias que varios estados similares. Las entidades exentas incluyen organismos gubernamentales estatales y locales, organizaciones sin fines de lucro, instituciones de educación superior, asociaciones nacionales de valores registradas, e instituciones financieras o datos sujetos a la Ley federal Gramm-Leach-Bliley.
Las exenciones para organizaciones sin fines de lucro y educación superior son notables porque no todos los estados las otorgan. Una organización sin fines de lucro o universidad de Nuevo Hampshire que estaría cubierta en un estado como Oregón generalmente está totalmente fuera de la NHDPA. Dicho esto, una entidad exenta aún debe confirmar que ninguno de sus emprendimientos afiliados con fines de lucro caiga dentro de la cobertura por sí solo.
El capítulo también exime categorías específicas de datos, incluyendo la información de salud protegida bajo HIPAA, los datos de reporte de crédito al consumidor bajo la Ley federal de Reporte Justo de Crédito, los datos de conductores bajo la Ley de Protección de la Privacidad del Conductor y los registros educativos bajo FERPA. Estas son exclusiones a nivel de datos que pueden aplicarse incluso a una entidad cubierta, por lo que debe mapear tanto el estatus de la entidad como los conjuntos de datos frente a la lista de exenciones.

Paso 3: Publique un aviso de privacidad conforme
Según RSA 507-H:6, un controlador cubierto debe proporcionar a los consumidores un aviso de privacidad razonablemente accesible, claro y significativo. El aviso debe describir las categorías de datos personales que procesa el controlador, los propósitos del procesamiento, cómo puede un consumidor ejercer sus derechos y apelar una decisión, las categorías de datos personales que el controlador comparte con terceros y las categorías de esos terceros.
El aviso también debe identificar si el controlador vende datos personales o los procesa para publicidad dirigida y explicar cómo puede un consumidor optar por excluirse de esas actividades. Debido a que la obligación de exclusión universal de la NHDPA ha estado vigente desde el 1 de enero de 2025, el aviso debe reflejar que el controlador reconoce una señal de preferencia de exclusión universal.
Mantenga el aviso actualizado. Cuando las prácticas de procesamiento cambien materialmente, el aviso debe actualizarse para coincidir. Un aviso desactualizado que ya no describe los flujos de datos reales es en sí mismo una brecha de cumplimiento que el Fiscal General puede tratar como una práctica engañosa bajo RSA 358-A.
Paso 4: Obtenga consentimiento de exclusión voluntaria previa para datos sensibles
Según RSA 507-H:6, un controlador no puede procesar datos sensibles sin antes obtener el consentimiento del consumidor. La definición de datos sensibles en RSA 507-H:1 es amplia: cubre datos que revelan origen racial o étnico, creencias religiosas, una condición o diagnóstico de salud mental o física, vida sexual, orientación sexual, o estatus de ciudadanía o inmigración, además de identificadores genéticos o biométricos, datos personales recopilados de un niño conocido y geolocalización precisa.
El consentimiento debe ser un acto afirmativo claro que signifique un acuerdo otorgado libremente, específico, informado e inequívoco. Las casillas premarcadas, la inactividad y la aceptación de términos de uso generales no califican. Para los datos recopilados de un niño conocido, el controlador debe procesarlos de acuerdo con la Ley federal de Protección de la Privacidad Infantil en Línea, superponiendo las reglas federales de privacidad infantil sobre el requisito estatal.
El paso práctico es inventariar los flujos de datos, marcar cualquier categoría sensible y construir una barrera de consentimiento antes de que ocurra ese procesamiento. Una empresa que ya recopila datos de salud, biométricos, de inmigración o de ubicación precisa sin un mecanismo de consentimiento está expuesta y debe remediarlo primero.
Paso 5: Reconozca la señal de exclusión universal
Según RSA 507-H:6, V, un controlador debe permitir que los consumidores se excluyan de la publicidad dirigida y de la venta de datos personales a través de una señal de preferencia de exclusión universal. Esta obligación ha estado vigente desde la fecha de entrada en vigor de la ley, el 1 de enero de 2025, por lo que no hay un plazo de implementación posterior por planificar como en algunos estados.
El estatuto establece estándares para la señal. Debe ser amigable para el consumidor, fácil de usar por el consumidor promedio y lo más consistente posible con mecanismos similares requeridos por otras leyes estatales o federales. En la práctica, esto significa configurar el sitio web y la pila de tecnología publicitaria para detectar y respetar una señal a nivel de navegador, como el Control de Privacidad Global, y suprimir las ventas de datos y la publicidad dirigida para los consumidores que la envíen.
Este suele ser el paso técnicamente más difícil, porque requiere que la exclusión fluya a través de administradores de etiquetas, píxeles publicitarios y acuerdos de intercambio de datos en lugar de simplemente activar una única configuración. Confirme que reconocer la señal realmente detenga el intercambio en cadena, no solo la visualización en el sitio de anuncios personalizados.

Paso 6: Complete las evaluaciones y los contratos con procesadores
Según RSA 507-H:8, un controlador debe realizar y documentar una evaluación de protección de datos para cada actividad de procesamiento que presente un riesgo elevado de daño, incluyendo la publicidad dirigida, la venta de datos personales, cierto perfilamiento y el procesamiento de datos sensibles. El requisito se aplica a las actividades de procesamiento creadas o generadas después del 1 de julio de 2024 y no es retroactivo. El Fiscal General puede exigir que un controlador divulgue una evaluación relevante.
Según RSA 507-H:7, un controlador que contrata a un procesador debe tener un contrato que rija los procedimientos de procesamiento de datos del procesador. El contrato debe establecer instrucciones para el procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos y la duración, y los derechos y obligaciones de ambas partes. También debe exigir que el procesador garantice la confidencialidad, elimine o devuelva los datos al final de los servicios, ponga a disposición la información necesaria para demostrar el cumplimiento y coopere con las evaluaciones.
El paso práctico es mantener una plantilla de evaluación que cubra las cuatro categorías de alto riesgo, ejecutarla para cada actividad calificada y actualizar los contratos estándar de proveedores para incluir los términos requeridos del procesador. Los acuerdos de proveedores existentes a menudo necesitan una enmienda o un anexo de procesamiento de datos para satisfacer RSA 507-H:7.
Aplicación ahora que el período de subsanación ha vencido
La estructura de aplicación de la NHDPA se establece en RSA 507-H:11. El Fiscal General tiene autoridad exclusiva para hacer cumplir el capítulo, y una infracción constituye un acto ilegal según RSA 358-A:2, la Ley de Protección al Consumidor de Nuevo Hampshire. No existe un derecho de acción privado, por lo que solo el estado puede iniciar una acción.
Durante 2025, la ley exigía que el Fiscal General emitiera un aviso de infracción y permitiera un período de subsanación de 60 días antes de iniciar una acción cuando fuera posible una corrección. Ese período de subsanación obligatorio venció el 31 de diciembre de 2025. A partir de 2026, otorgar una oportunidad de subsanación es discrecional. Al decidir si ofrecer una, el Fiscal General puede considerar factores como el número de infracciones, el tamaño y la complejidad de la empresa, la naturaleza y el alcance de su procesamiento, la probabilidad sustancial de daño al público, la seguridad de las personas o la propiedad, y si la infracción probablemente fue causada por error humano o técnico.
Debido a que la ventana de subsanación ya no está garantizada, la postura más segura para una empresa cubierta es tratar el cumplimiento como requerido desde el principio en lugar de confiar en una oportunidad para corregir problemas después de un aviso. Las sanciones están vinculadas a la Ley de Protección al Consumidor, que autoriza sanciones civiles de hasta $10,000 por infracción según RSA 358-A:4, III(b), junto con medidas cautelares. El Fiscal General de Nuevo Hampshire ha establecido una Unidad de Privacidad de Datos dedicada dentro de la Oficina de Protección al Consumidor y Antimonopolio para manejar este trabajo.
More New Hampshire Laws
- New Hampshire AI Meeting Recording Laws
- New Hampshire Alimony Laws
- New Hampshire At-Will Employment Laws
- New Hampshire Car Accident Laws
- New Hampshire Car Seat Laws
- New Hampshire Child Custody Laws
- New Hampshire Child Support Laws
- New Hampshire Common Law Marriage Laws
- New Hampshire Deepfake Laws
- New Hampshire Divorce Laws
- New Hampshire Dog Bite Laws
- New Hampshire Emancipation Laws
- New Hampshire Expungement Laws
- New Hampshire Hit and Run Laws
- New Hampshire Landlord-Tenant Laws
- New Hampshire Lemon Laws
Guías relacionadas
Preguntas frecuentes
¿Mi empresa tiene que cumplir con la NHDPA?
Debe cumplir si, según RSA 507-H:2, hace negocios en Nuevo Hampshire o se dirige a residentes de Nuevo Hampshire y, durante un período de un año, controla o procesa los datos personales de 35,000 o más consumidores únicos, o de 10,000 o más consumidores mientras obtiene más del 25 por ciento de los ingresos brutos de la venta de datos personales. El umbral de 35,000 consumidores es bajo, así que revíselo cuidadosamente incluso si está por debajo del límite en estados más grandes. Primero confirme que no está exento a nivel de entidad según RSA 507-H:3.
¿Cuáles son los primeros pasos para cumplir con la NHDPA?
Comience aplicando la prueba de aplicabilidad de RSA 507-H:2 y revisando las exenciones de entidad de RSA 507-H:3. Si está cubierto, publique un aviso de privacidad conforme, construya una barrera de consentimiento para datos sensibles, configure su sitio para respetar una señal de exclusión universal, complete evaluaciones de protección de datos para el procesamiento de alto riesgo, y ponga en marcha contratos de procesador conformes con sus proveedores.
¿La NHDPA exige reconocer una señal de exclusión universal?
Sí. Según RSA 507-H:6, V, los controladores deben reconocer una señal de preferencia de exclusión universal, como el Control de Privacidad Global, para la publicidad dirigida y la venta de datos personales. A diferencia de algunos estados que implementaron esto más tarde, el requisito de Nuevo Hampshire ha aplicado desde que la ley entró en vigor el 1 de enero de 2025.
¿Cuál es la sanción por violar la NHDPA?
Según RSA 507-H:11, una infracción es un acto ilegal según la Ley de Protección al Consumidor de Nuevo Hampshire, RSA 358-A. Eso permite que el Fiscal General busque sanciones civiles de hasta $10,000 por infracción según RSA 358-A:4, III(b), además de medidas cautelares. No existe un derecho de acción privado, por lo que solo el Fiscal General puede iniciar una acción de cumplimiento.
¿Todavía existe un período de subsanación bajo la NHDPA?
No uno garantizado. El período de subsanación obligatorio de 60 días aplicó solo durante 2025 y venció el 31 de diciembre de 2025. A partir de 2026, otorgar una oportunidad de subsanación es discrecional, y el Fiscal General puede considerar factores como el número de infracciones, el tamaño de la empresa, la probabilidad de daño público y si la infracción resultó de error humano o técnico.
¿Necesito una evaluación de protección de datos bajo la NHDPA?
Sí, para el procesamiento de alto riesgo. Según RSA 507-H:8, un controlador debe realizar y documentar una evaluación de protección de datos para la publicidad dirigida, la venta de datos personales, cierto perfilamiento y el procesamiento de datos sensibles. El requisito se aplica al procesamiento creado o generado después del 1 de julio de 2024 y no es retroactivo. El Fiscal General puede exigirle que divulgue una evaluación relevante.
¿Están exentas las organizaciones sin fines de lucro de la NHDPA?
Sí. Según RSA 507-H:3, las organizaciones sin fines de lucro están exentas a nivel de entidad, al igual que las instituciones de educación superior, los organismos gubernamentales, las asociaciones de valores registradas y las instituciones financieras cubiertas por GLBA. Esto es más amplio que en algunos estados, como Oregón, que generalmente cubre a las organizaciones sin fines de lucro. Confirme que ningún emprendimiento afiliado con fines de lucro esté cubierto por separado.
¿Qué debe incluir un contrato con un procesador bajo la NHDPA?
Según RSA 507-H:7, un contrato entre un controlador y un procesador debe establecer instrucciones de procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos y la duración, y los derechos y obligaciones de ambas partes. Debe exigir que el procesador garantice la confidencialidad, elimine o devuelva los datos al final de los servicios, demuestre el cumplimiento a solicitud y coopere con las evaluaciones de protección de datos del controlador.
Fuentes y referencias
- RSA Capítulo 507-H: Expectativa de Privacidad (Capítulo Completo)(gc.nh.gov).gov
- RSA 507-H promulgado por SB 255 y enmendado por el Capítulo 229 (PDF de la Secretaría de Estado)(sos.nh.gov).gov
- Departamento de Justicia de Nuevo Hampshire: Aplicación de la Privacidad de Datos(doj.nh.gov).gov
- DOJ de Nuevo Hampshire: Preguntas Frecuentes sobre la Ley de Privacidad de Datos(doj.nh.gov).gov
- DOJ de Nuevo Hampshire: El Fiscal General Formella Anuncia la Creación de la Nueva Unidad de Privacidad de Datos(doj.nh.gov).gov