New Hampshire
¿Qué es la NHDPA? Ley de Privacidad de Datos de Nuevo Hampshire

La Ley de Privacidad de Datos de Nuevo Hampshire (NHDPA), codificada en RSA Capítulo 507-H, es la ley integral de privacidad de datos del consumidor de Nuevo Hampshire. Fue promulgada como el Proyecto de Ley del Senado 255 (2024), firmada por el gobernador Chris Sununu el 6 de marzo de 2024, y entró en vigor el 1 de enero de 2025. La ley otorga a los residentes de Nuevo Hampshire derechos para acceder, corregir, eliminar y portar sus datos personales, y para optar por excluirse de la publicidad dirigida, las ventas de datos y cierto perfilamiento.
A partir de 2026, la NHDPA es aplicada exclusivamente por el Fiscal General de Nuevo Hampshire a través de una Unidad de Privacidad de Datos dedicada. Las infracciones se tratan como actos ilegales según la Ley de Protección al Consumidor de Nuevo Hampshire, RSA 358-A, y el derecho de subsanación de 60 días en el que confiaban los controladores durante 2025 venció el 31 de diciembre de 2025, por lo que ya no existe un período de gracia garantizado.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos de Nuevo Hampshire (RSA Capítulo 507-H). Es información legal general, no asesoría legal.
Qué es la NHDPA: estatuto, promulgación y fecha de entrada en vigor
La Ley de Privacidad de Datos de Nuevo Hampshire es la primera ley integral de privacidad de datos del consumidor de Nuevo Hampshire. Está codificada en los Estatutos Revisados Anotados en el Capítulo 507-H, que lleva el título formal "Expectativa de Privacidad." El capítulo fue creado por el Proyecto de Ley del Senado 255 durante la sesión legislativa de 2024 y fue enmendado posteriormente ese año por el Capítulo 229 de las Leyes de 2024.
El gobernador Chris Sununu firmó el SB 255 como ley el 6 de marzo de 2024. El estatuto estableció una única fecha de entrada en vigor, el 1 de enero de 2025, dando a las empresas cubiertas aproximadamente diez meses para construir programas de cumplimiento antes de que comenzaran sus obligaciones. A partir de 2026, esa fecha de entrada en vigor ha pasado y la ley está plenamente operativa.
Nuevo Hampshire se unió a un grupo creciente de estados con estatutos de privacidad integrales modelados vagamente en el marco adoptado por primera vez en Virginia y Connecticut. La NHDPA comparte gran parte de su estructura con esas leyes, incluyendo los roles de controlador y procesador, el catálogo de derechos del consumidor y el requisito de consentimiento de exclusión voluntaria previa para datos sensibles. Para conocer las obligaciones del controlador y del procesador y las reglas de contenido del aviso de privacidad en su totalidad, consulte la página principal de leyes de privacidad de datos de Nuevo Hampshire.
A quién cubre la NHDPA: umbrales de aplicabilidad bajos
La prueba de aplicabilidad de la NHDPA se encuentra en RSA 507-H:2. La ley se aplica a una persona que hace negocios en Nuevo Hampshire, o que produce productos o servicios dirigidos a residentes de Nuevo Hampshire, y que durante un período de un año controló o procesó los datos personales de cualquiera de dos grupos.
El primer disparador es 35,000 o más consumidores únicos, excluyendo los datos personales controlados o procesados "únicamente con el fin de completar una transacción de pago." La exclusión de transacción de pago significa que un minorista no cuenta cada transacción con tarjeta hacia el umbral cuando los únicos datos involucrados son los necesarios para completar esa única compra.
El segundo disparador es 10,000 o más consumidores únicos, pero solo cuando la empresa "obtuvo más del 25 por ciento de sus ingresos brutos de la venta de datos personales." Este umbral de conteo más bajo captura a las empresas basadas en datos cuyos ingresos dependen de la venta de información personal.
El umbral de 35,000 consumidores es uno de los más bajos del país. La mayoría de las leyes estatales de privacidad establecen su umbral principal en 100,000 consumidores, por lo que una empresa que escapa a la cobertura en Virginia, Colorado o Connecticut sobre una base de conteo puede seguir estando cubierta en Nuevo Hampshire. El efecto práctico es que la NHDPA alcanza a empresas pequeñas y medianas que manejan datos de residentes de Nuevo Hampshire, incluyendo muchas que estarían por debajo del límite en estados más grandes.

Las exenciones a nivel de entidad de la NHDPA
La NHDPA excluye por completo a varias categorías de organizaciones, una estructura establecida en RSA 507-H:3. Estas son exenciones a nivel de entidad: si una organización cae dentro de una categoría exenta, toda la organización queda fuera de la ley en lugar de solo una parte de sus datos.
Las entidades exentas incluyen organismos gubernamentales estatales y locales, organizaciones sin fines de lucro, instituciones de educación superior, asociaciones nacionales de valores registradas según la ley federal, e instituciones financieras o datos sujetos a la Ley federal Gramm-Leach-Bliley. Las entidades y los asociados comerciales cubiertos por HIPAA también están exentos en la medida en que el capítulo entre en conflicto con ese marco federal.
Las exenciones para organizaciones sin fines de lucro y educación superior vale la pena mencionarlas porque no todos los estados las otorgan. Oregón, por ejemplo, generalmente cubre a las organizaciones sin fines de lucro, mientras que Nuevo Hampshire las exime a nivel de entidad. Una organización sin fines de lucro o universidad de Nuevo Hampshire que estaría cubierta bajo una ley estatal más estricta generalmente está fuera de la NHDPA.
El capítulo también exime categorías específicas de datos según RSA 507-H:3, incluyendo la información de salud protegida bajo HIPAA, el producto de trabajo de seguridad del paciente, los datos de reporte de crédito al consumidor regidos por la Ley federal de Reporte Justo de Crédito, los datos de conductores bajo la Ley de Protección de la Privacidad del Conductor, y los registros educativos bajo FERPA. Una empresa debe mapear tanto su estatus de entidad como sus conjuntos de datos frente a la lista de exenciones en lugar de asumir que un solo estatus elimina todo de la ley.
Datos sensibles y la regla de consentimiento de exclusión voluntaria previa
Los datos sensibles ocupan el centro de la NHDPA porque procesarlos requiere consentimiento de exclusión voluntaria previa. Según RSA 507-H:6, un controlador "no puede procesar datos sensibles relacionados con un consumidor sin obtener el consentimiento del consumidor." El consentimiento debe ser un acto afirmativo claro, no una casilla premarcada ni inferido de la inactividad.
La definición de datos sensibles en RSA 507-H:1 es amplia. Incluye datos personales que revelan origen racial o étnico, creencias religiosas, una condición o diagnóstico de salud mental o física, vida sexual, orientación sexual, o estatus de ciudadanía o inmigración. También incluye datos genéticos o biométricos procesados para identificar de manera única a una persona, datos personales recopilados de un niño conocido, y datos de geolocalización precisa.
Debido a que los datos sensibles activan una barrera de exclusión voluntaria previa, la amplitud de la definición tiene un peso operativo real. Una empresa que procesa información de salud, estatus de inmigración, identificadores biométricos o ubicación precisa debe obtener consentimiento afirmativo antes de que comience ese procesamiento. Los datos recopilados de un niño conocido se manejan bajo el estándar federal de la Ley de Protección de la Privacidad Infantil en Línea, lo que significa que la ley superpone obligaciones estatales de privacidad sobre las reglas federales existentes de privacidad infantil.
La exclusión universal y las evaluaciones de protección de datos
Dos obligaciones con visión de futuro distinguen a la NHDPA de estatutos de privacidad más antiguos y estrechos. La primera es la señal de preferencia de exclusión universal. Según RSA 507-H:6, V, un controlador debe permitir que los consumidores se excluyan de la publicidad dirigida y de la venta de datos personales a través de una señal de preferencia de exclusión enviada por una plataforma, tecnología o mecanismo. Esta obligación aplicó a partir del 1 de enero de 2025, la fecha de entrada en vigor de la ley, por lo que no hay un plazo posterior separado como existe en algunos estados.
La señal debe ser amigable para el consumidor y fácil de usar por el consumidor promedio, y debe ser lo más consistente posible con mecanismos similares requeridos por otra ley estatal o federal. En la práctica, esto significa reconocer herramientas a nivel de navegador como el Control de Privacidad Global.
La segunda obligación es la evaluación de protección de datos. Según RSA 507-H:8, un controlador debe realizar y documentar una evaluación para cada actividad de procesamiento que presente un riesgo elevado de daño, incluyendo la publicidad dirigida, la venta de datos personales, cierto perfilamiento y el procesamiento de datos sensibles. El requisito de evaluación se aplica a las actividades de procesamiento creadas o generadas después del 1 de julio de 2024 y no es retroactivo.

Una nota sobre la Secretaría de Estado y la reglamentación
Algunos resúmenes iniciales sugirieron que la Secretaría de Estado de Nuevo Hampshire adoptaría reglas que rigen la forma y el contenido de los avisos de privacidad o los mecanismos de exclusión. A partir de 2026, el estatuto no otorga esa autoridad. RSA 507-H:2, II dirige únicamente a la Secretaría de Estado a "notificar y publicar un enlace a RSA 507-H" en el sitio web de la oficina. No existe poder de reglamentación en el capítulo para la Secretaría de Estado sobre los avisos de privacidad o las señales de exclusión.
Esto importa para la planificación del cumplimiento. A diferencia de California, donde una agencia de privacidad dedicada emite reglamentos detallados, la ley de Nuevo Hampshire es en gran medida autoejecutable a partir del texto estatutario. Las empresas recurren al estatuto mismo, no a un cuerpo separado de reglamentos estatales de privacidad, para conocer los detalles de sus obligaciones. La Unidad de Privacidad de Datos del Fiscal General publica orientación, pero esa orientación interpreta el estatuto en lugar de complementarlo con reglas vinculantes.
NHDPA frente a CCPA: las diferencias clave
La NHDPA de Nuevo Hampshire y la CCPA de California a menudo son comparadas por empresas que operan a nivel nacional. La página de comparación de leyes estatales de privacidad de datos cubre el panorama más amplio entre múltiples estados, pero destacan varias diferencias entre la NHDPA y la CCPA de California.
| Característica | NHDPA de Nuevo Hampshire | CCPA/CPRA de California |
|---|---|---|
| Umbral de cobertura | 35,000 consumidores, o 10,000 más el 25% de los ingresos de ventas de datos; sin piso en dólares | $25M en ingresos, 100,000 consumidores, o 50% de ingresos de ventas de datos |
| Organizaciones sin fines de lucro | Exentas a nivel de entidad (RSA 507-H:3) | Generalmente exentas |
| Datos sensibles | Se requiere consentimiento de exclusión voluntaria previa (RSA 507-H:6) | Derecho a limitar el uso; modelo de exclusión voluntaria |
| Reglamentación | Sin reglamentación de agencia; estatuto autoejecutable | La Agencia de Protección de la Privacidad de California emite reglamentos |
| Derecho de acción privado | Ninguno (RSA 507-H:11) | Limitado, para ciertas violaciones de datos |
La diferencia más consecuente es la red de cobertura. El umbral de 35,000 consumidores de Nuevo Hampshire y la ausencia de un piso de ingresos en dólares atraen a empresas que el disparador de $25 millones de ingresos de California dejaría fuera, aunque la ley de California a menudo se describe como la más estricta del país en otras dimensiones.
Las dos leyes también difieren en datos sensibles y reglamentación. California utiliza un "derecho a limitar" el uso de información personal sensible, un modelo de exclusión voluntaria, y su agencia de privacidad emite reglamentos vinculantes. Nuevo Hampshire requiere consentimiento de exclusión voluntaria previa antes de que se puedan procesar datos sensibles y no tiene un regulador comparable que emita reglas.
More New Hampshire Laws
- New Hampshire AI Meeting Recording Laws
- New Hampshire Alimony Laws
- New Hampshire At-Will Employment Laws
- New Hampshire Car Accident Laws
- New Hampshire Car Seat Laws
- New Hampshire Child Custody Laws
- New Hampshire Child Support Laws
- New Hampshire Common Law Marriage Laws
- New Hampshire Deepfake Laws
- New Hampshire Divorce Laws
- New Hampshire Dog Bite Laws
- New Hampshire Emancipation Laws
- New Hampshire Expungement Laws
- New Hampshire Hit and Run Laws
- New Hampshire Landlord-Tenant Laws
- New Hampshire Lemon Laws
Guías relacionadas
Preguntas frecuentes
¿Qué es la NHDPA?
La NHDPA, o Ley de Privacidad de Datos de Nuevo Hampshire, es la ley integral de privacidad de datos del consumidor de Nuevo Hampshire codificada en RSA Capítulo 507-H. Fue promulgada como el Proyecto de Ley del Senado 255, firmada por el gobernador Chris Sununu el 6 de marzo de 2024, y entró en vigor el 1 de enero de 2025. Otorga a los residentes de Nuevo Hampshire derechos sobre sus datos personales y exige que las empresas cubiertas sean transparentes sobre cómo los recopilan, usan y comparten.
¿Cuándo entró en vigor la Ley de Privacidad de Datos de Nuevo Hampshire?
La NHDPA entró en vigor el 1 de enero de 2025. Esa única fecha de entrada en vigor se aplicó a todas sus obligaciones principales, incluido el requisito de señal de preferencia de exclusión universal. A partir de 2026, la ley está plenamente operativa y la Unidad de Privacidad de Datos del Fiscal General la está aplicando activamente.
¿Quién tiene que cumplir con la NHDPA?
Según RSA 507-H:2, la NHDPA se aplica a una empresa que hace negocios en Nuevo Hampshire o se dirige a residentes de Nuevo Hampshire y que, durante un período de un año, controla o procesa los datos personales de 35,000 o más consumidores únicos, o de 10,000 o más consumidores mientras obtiene más del 25 por ciento de los ingresos brutos de la venta de datos personales. El umbral de 35,000 consumidores es uno de los más bajos del país, por lo que la ley alcanza a muchas empresas pequeñas y medianas.
¿Se aplica la NHDPA a las organizaciones sin fines de lucro?
No. Según RSA 507-H:3, las organizaciones sin fines de lucro están exentas a nivel de entidad, al igual que las instituciones de educación superior, los organismos gubernamentales, las asociaciones de valores registradas y las instituciones financieras cubiertas por GLBA. Esto es diferente de un estado como Oregón, que generalmente cubre a las organizaciones sin fines de lucro. Una organización sin fines de lucro de Nuevo Hampshire generalmente está fuera de la NHDPA.
¿Qué se considera datos sensibles bajo la NHDPA?
Según RSA 507-H:1, los datos sensibles incluyen datos que revelan origen racial o étnico, creencias religiosas, una condición o diagnóstico de salud mental o física, vida sexual, orientación sexual, o estatus de ciudadanía o inmigración. También incluyen datos genéticos o biométricos utilizados para identificar a una persona, datos personales recopilados de un niño conocido y datos de geolocalización precisa. Procesar datos sensibles requiere consentimiento de exclusión voluntaria previa según RSA 507-H:6.
¿La Secretaría de Estado de Nuevo Hampshire redacta reglas de privacidad?
No. A partir de 2026, RSA 507-H:2, II dirige a la Secretaría de Estado únicamente a publicar un enlace a RSA 507-H en el sitio web de la oficina. El estatuto no otorga a la Secretaría de Estado ni a ninguna otra agencia autoridad de reglamentación sobre los avisos de privacidad o los mecanismos de exclusión. La NHDPA es en gran medida autoejecutable a partir de su texto estatutario, y la orientación del Fiscal General interpreta la ley en lugar de agregar reglamentos vinculantes.
¿En qué se diferencia la NHDPA de la CCPA?
Diferencias clave: el umbral de cobertura de Nuevo Hampshire es de 35,000 consumidores sin piso en dólares, mientras que la CCPA de California utiliza un disparador de $25 millones de ingresos entre sus pruebas; Nuevo Hampshire exime a las organizaciones sin fines de lucro a nivel de entidad; Nuevo Hampshire requiere consentimiento de exclusión voluntaria previa para datos sensibles mientras California usa un derecho de exclusión voluntaria para limitar; California tiene una agencia de privacidad dedicada que emite reglamentos mientras la ley de Nuevo Hampshire es autoejecutable; y California tiene un derecho de acción privado limitado para ciertas violaciones mientras Nuevo Hampshire no tiene ninguno.
¿Quién aplica la NHDPA?
El Fiscal General de Nuevo Hampshire tiene autoridad exclusiva de aplicación según RSA 507-H:11, actuando a través de una Unidad de Privacidad de Datos dedicada. Las infracciones se tratan como actos ilegales según la Ley de Protección al Consumidor de Nuevo Hampshire, RSA 358-A, que permite sanciones civiles de hasta $10,000 por infracción. No existe un derecho de acción privado, y el período de subsanación de 60 días en el que confiaban los controladores durante 2025 venció el 31 de diciembre de 2025.
Fuentes y referencias
- RSA Capítulo 507-H: Expectativa de Privacidad (Capítulo Completo)(gc.nh.gov).gov
- RSA 507-H promulgado por SB 255 y enmendado por el Capítulo 229 (PDF de la Secretaría de Estado)(sos.nh.gov).gov
- Departamento de Justicia de Nuevo Hampshire: Aplicación de la Privacidad de Datos(doj.nh.gov).gov
- DOJ de Nuevo Hampshire: Preguntas Frecuentes sobre la Ley de Privacidad de Datos(doj.nh.gov).gov
- SB 255 de Nuevo Hampshire (Sesión Regular de 2024): Texto del Proyecto de Ley(legiscan.com)