New Jersey
Leyes de Privacidad de Datos de Nueva Jersey: Guía de Derechos del Consumidor de la NJDPA (2026)

La Ley de Privacidad de Datos de Nueva Jersey (N.J.S.A. 56:8-166.4 y siguientes), vigente desde el 15 de enero de 2025, otorga a los consumidores de Nueva Jersey el derecho a acceder, corregir, eliminar y portar sus datos personales, y a optar por excluirse de las ventas de datos y la publicidad dirigida. El Fiscal General aplica las infracciones; no existe un derecho de acción privado.
Nueva Jersey promulgó una de las leyes de privacidad de datos más estrictas de Estados Unidos cuando el gobernador Phil Murphy firmó la Ley de Privacidad de Datos de Nueva Jersey (NJDPA) el 16 de enero de 2024. La ley entró en vigor el 15 de enero de 2025, convirtiendo a Nueva Jersey en uno de un número creciente de estados con legislación integral de protección de datos del consumidor.
Lo que distingue a la NJDPA de otras leyes estatales de privacidad es su amplitud. Nueva Jersey incluye la información financiera en su definición de datos sensibles, no exime a las organizaciones sin fines de lucro, y exige que las empresas reconozcan mecanismos de exclusión universal. Combinado con la ley de notificación de violación de datos ya existente del estado, los residentes de Nueva Jersey ahora tienen protecciones sustanciales sobre cómo se recopila, usa y comparte su información personal.
Esta guía cubre el alcance completo de las leyes de privacidad de datos de Nueva Jersey, incluyendo sus derechos como consumidor, lo que las empresas deben hacer para cumplir, y las sanciones por infracciones.
Ley de Privacidad de Datos de Nueva Jersey (NJDPA)
La Ley de Privacidad de Datos de Nueva Jersey fue promulgada como P.L. 2023, c.266 (S332) y está codificada en N.J.S.A. 56:8-166.4 y siguientes. Establece protecciones integrales de privacidad de datos para los residentes de Nueva Jersey. La ley se modeló en parte en los marcos de privacidad de Connecticut y Colorado, pero incluye varias disposiciones que la convierten en una de las leyes estatales de privacidad más exigentes del país.
La NJDPA regula cómo las empresas recopilan, procesan, almacenan, venden y comparten los datos personales pertenecientes a los consumidores de Nueva Jersey. Crea derechos específicos del consumidor, impone obligaciones a las empresas que actúan como controladores y procesadores de datos, y otorga autoridad exclusiva de aplicación al Fiscal General de Nueva Jersey.
A quién se aplica la NJDPA
La NJDPA se aplica a cualquier persona o entidad que hace negocios en Nueva Jersey o produce productos o servicios dirigidos a residentes de Nueva Jersey, y que durante un año calendario cumple con cualquiera de dos umbrales.
El primer umbral es controlar o procesar los datos personales de al menos 100,000 consumidores de Nueva Jersey, excluyendo los datos personales procesados únicamente para completar una transacción de pago.
El segundo umbral es controlar o procesar los datos personales de al menos 25,000 consumidores mientras se obtienen ingresos o descuentos en el precio de bienes o servicios por la venta de datos personales.
A diferencia de otras leyes estatales de privacidad, la NJDPA no incluye un umbral mínimo de ingresos anuales. Esto significa que las empresas más pequeñas pueden estar sujetas a la ley si cumplen con cualquiera de los umbrales de procesamiento.
Entidades y datos exentos
La NJDPA proporciona exenciones tanto a nivel de entidad como a nivel de datos, aunque su lista de exenciones es notablemente más estrecha que la de muchas leyes estatales comparables.
Las exenciones a nivel de entidad incluyen las instituciones financieras sujetas a la Ley Gramm-Leach-Bliley (GLBA) y ciertas instituciones del mercado secundario. Las agencias estatales y las subdivisiones políticas también están exentas.
Las exenciones a nivel de datos cubren los datos ya regulados bajo leyes federales específicas, incluyendo:
- Información de salud protegida bajo HIPAA
- Datos financieros regidos por la GLBA
- Datos de reporte de crédito al consumidor según la Ley de Reporte Justo de Crédito (FCRA)
- Información de conductores bajo la Ley de Protección de la Privacidad del Conductor (DPPA)
- Datos desidentificados o disponibles al público
- Datos de empleados y contactos comerciales (en ciertos contextos)
Una de las características más distintivas de la NJDPA es lo que no exime. A diferencia de muchas otras leyes estatales de privacidad, la NJDPA no exime a las organizaciones sin fines de lucro ni a las instituciones de educación superior. Tampoco crea una exención para los registros educativos regidos por FERPA. Este alcance más amplio significa que más organizaciones en Nueva Jersey deben cumplir.
Derechos del consumidor bajo la NJDPA
La NJDPA otorga a los residentes de Nueva Jersey cinco derechos principales sobre sus datos personales. Estos derechos dan a los consumidores un control significativo sobre cómo se recopila, usa y comparte su información.

Derecho a confirmar y acceder
Usted tiene derecho a confirmar si una empresa está procesando sus datos personales. Si se está realizando un procesamiento, puede solicitar acceso a los datos personales específicos que la empresa tiene sobre usted.
Derecho a corregir
Puede solicitar que una empresa corrija los datos personales inexactos que mantiene sobre usted, teniendo en cuenta la naturaleza de los datos y los propósitos del procesamiento.
Derecho a eliminar
Usted tiene derecho a solicitar que una empresa elimine los datos personales que ha recopilado de usted o sobre usted. Esto incluye los datos que la empresa obtuvo directamente de usted y los datos obtenidos de fuentes de terceros.
Derecho a la portabilidad de datos
Puede solicitar una copia de sus datos personales en un formato portátil y fácilmente utilizable que le permita transmitir los datos a otra entidad sin obstáculos.
Derecho a optar por excluirse
Usted tiene derecho a excluirse de tres tipos específicos de procesamiento:
- Publicidad dirigida. Puede impedir que las empresas usen sus datos para mostrar anuncios seleccionados con base en sus características personales o actividades en línea.
- Venta de datos personales. Puede evitar que las empresas vendan sus datos personales a terceros.
- Perfilamiento. Puede optar por excluirse del procesamiento automatizado que produce efectos legales o de importancia similar sobre usted.
Los controladores deben responder a las solicitudes de los consumidores dentro de 45 días de recibir la solicitud. Si es razonablemente necesario debido a la complejidad de la solicitud o al volumen de solicitudes, el controlador puede extender el período de respuesta por 45 días adicionales, siempre que informe al consumidor de la extensión y el motivo.
Si un controlador niega la solicitud de un consumidor, el consumidor tiene derecho a apelar. El controlador debe proporcionar un mecanismo para que el consumidor presente una apelación y debe responder a la apelación dentro de 60 días.
Mecanismo de exclusión universal
La NJDPA exige que los controladores reconozcan mecanismos de exclusión universal seleccionados por el usuario para la publicidad dirigida y la venta de datos personales. Este requisito entró en vigor el 15 de julio de 2025, seis meses después de la fecha de entrada en vigor de la ley.
Los mecanismos de exclusión universal incluyen configuraciones del navegador, extensiones del navegador y señales de preferencia de privacidad como el Control de Privacidad Global (GPC). Estas herramientas permiten a los consumidores ejercer sus derechos de exclusión en múltiples sitios web simultáneamente en lugar de presentar solicitudes individuales a cada empresa.
La ley especifica que un mecanismo de exclusión universal no debe perjudicar injustamente a otro controlador, no debe usar una configuración predeterminada que incluya al consumidor a menos que el consumidor haya elegido afirmativamente esa configuración, y debe ser amigable para el consumidor y fácil de usar.
Datos sensibles bajo la NJDPA
La NJDPA define los datos sensibles de manera más amplia que la mayoría de las otras leyes estatales de privacidad. Antes de procesar cualquier dato sensible, un controlador debe obtener el consentimiento afirmativo, otorgado libremente, específico, informado e inequívoco del consumidor, es decir, el consentimiento de exclusión voluntaria previa.

Los datos sensibles bajo la NJDPA incluyen los datos personales que revelan:
- Origen racial o étnico
- Creencias religiosas
- Condición, tratamiento o diagnóstico de salud mental o física
- Vida sexual u orientación sexual
- Estatus de ciudadanía o inmigración
- Condición de persona transgénero o no binaria
- Datos genéticos
- Datos biométricos usados con fines de identificación
- Datos de geolocalización precisa
- Datos personales recopilados de un niño conocido
Datos financieros como datos sensibles
Una de las disposiciones más notables de la NJDPA es la inclusión de la información financiera en la definición de datos sensibles. La ley clasifica lo siguiente como datos sensibles que requieren consentimiento de exclusión voluntaria previa: números de cuenta, credenciales de inicio de sesión de cuenta, números de cuentas financieras, y números de tarjetas de crédito o débito combinados con cualquier código de acceso, código de seguridad o contraseña que permitiera el acceso a la cuenta financiera de un consumidor.
Esta es una desviación significativa de otras leyes estatales de privacidad. La mayoría de las leyes estatales integrales de privacidad no tratan los datos financieros como sensibles. El enfoque de la NJDPA significa que las empresas que manejan información financiera de los consumidores de Nueva Jersey deben obtener consentimiento explícito antes de procesarla, a menos que los datos ya estén cubiertos por una exención de la GLBA.
Protecciones para los datos de menores
La NJDPA proporciona protecciones escalonadas para los datos personales de los menores según la edad.
Para los menores de 13 años, el procesamiento de datos personales requiere consentimiento parental verificable, de acuerdo con la Ley federal de Protección de la Privacidad Infantil en Línea (COPPA).
Para los consumidores entre 13 y 16 años, cuando un controlador tiene conocimiento real o ignora deliberadamente que el consumidor está en ese rango de edad, el controlador debe obtener el propio consentimiento de exclusión voluntaria previa del consumidor antes de procesar datos personales para publicidad dirigida, venta de datos personales, o perfilamiento que produzca efectos legales o de importancia similar.
Todos los datos personales recopilados de un niño conocido se clasifican como datos sensibles bajo la NJDPA, lo que activa los requisitos de consentimiento reforzados que se aplican a todas las categorías de datos sensibles.
Los legisladores de Nueva Jersey están avanzando por separado en legislación sobre seguridad infantil en línea. El Comité de Ciencia, Innovación y Tecnología de la Asamblea aprobó un paquete de tres proyectos de ley en febrero de 2026 que adoptaría un Código de Diseño Apropiado para la Edad en Nueva Jersey, exigiendo que ciertos servicios en línea implementen protecciones para menores. Esos proyectos de ley permanecen pendientes en la sesión legislativa 2026-2027.
Obligaciones del controlador
Las empresas que actúan como controladores de datos bajo la NJDPA deben cumplir con varios requisitos específicos.
Minimización de datos
Los controladores deben limitar su recopilación de datos personales a lo que sea adecuado, relevante y razonablemente necesario para el propósito de procesamiento divulgado. Los controladores no pueden procesar datos personales para propósitos que no sean razonablemente necesarios o compatibles con los propósitos que divulgaron al consumidor.
Requisitos de seguridad
Los controladores deben establecer, implementar y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas apropiadas al volumen y la naturaleza de los datos personales en cuestión. Estas prácticas deben proteger la confidencialidad, integridad y accesibilidad de los datos personales.
Requisitos del aviso de privacidad
Los controladores deben proporcionar a los consumidores un aviso de privacidad claro y significativo que incluya:
- Las categorías de datos personales procesados
- El propósito de procesar cada categoría
- Cómo los consumidores pueden ejercer sus derechos, incluido el derecho a apelar
- Las categorías de datos personales compartidos con terceros
- Las categorías de terceros con quienes se comparten los datos
- Si el controlador vende datos personales o los procesa para publicidad dirigida, y cómo optar por excluirse
Revocación del consentimiento
Los controladores deben proporcionar mecanismos para que los consumidores revoquen su consentimiento. Cuando un consumidor revoca el consentimiento, el controlador debe dejar de procesar los datos personales del consumidor dentro de 15 días de recibir la solicitud de revocación.
Acuerdos de procesamiento de datos
Los controladores deben celebrar contratos vinculantes con cualquier procesador que maneje datos personales en su nombre. Estos contratos deben especificar la naturaleza y el propósito del procesamiento, el tipo de datos que se procesan, la duración del procesamiento, y los derechos y obligaciones de ambas partes.
Evaluaciones de protección de datos
La NJDPA exige que los controladores realicen evaluaciones de protección de datos antes de participar en actividades de procesamiento que presenten un riesgo elevado de daño a los consumidores. Las actividades que activan este requisito incluyen:
- Procesar datos personales con fines de publicidad dirigida
- Vender datos personales
- Procesar datos personales para perfilamiento cuando el perfilamiento presenta un riesgo previsible de trato injusto o engañoso, impacto dispar ilegal, lesión financiera o física, o intrusión en la soledad o el aislamiento
- Procesar datos sensibles
Cada evaluación debe identificar y sopesar los beneficios del procesamiento para el controlador, el consumidor, otras partes interesadas y el público frente a los riesgos potenciales para los derechos del consumidor. La evaluación debe tener en cuenta el uso de la desidentificación, las expectativas del consumidor, el contexto del procesamiento, y la relación entre el controlador y el consumidor.
Los controladores deben poner sus evaluaciones de protección de datos a disposición del Fiscal General cuando este lo solicite.
Obligaciones del procesador
Los procesadores de datos bajo la NJDPA también tienen obligaciones legales específicas. Los procesadores deben:

- Garantizar que cada persona que procesa datos personales esté sujeta a un deber de confidencialidad
- Ejecutar acuerdos de subcontratista por escrito que exijan a los subcontratistas cumplir con las mismas obligaciones
- Ayudar a los controladores a cumplir con sus obligaciones de responder a las solicitudes de derechos del consumidor
- Ayudar a los controladores a cumplir con las obligaciones de seguridad de datos
- Facilitar la notificación de violaciones cuando se requiera
- Ayudar a los controladores a realizar evaluaciones de protección de datos
- Al finalizar la relación de servicio, eliminar o devolver todos los datos personales según lo indique el controlador
Aplicación y sanciones
La NJDPA es aplicada exclusivamente por el Fiscal General de Nueva Jersey a través de la División de Asuntos del Consumidor en el Departamento de Derecho y Seguridad Pública. No existe un derecho de acción privado, lo que significa que los consumidores individuales no pueden demandar directamente a las empresas por infracciones de la NJDPA.
Las infracciones de la NJDPA se tratan como prácticas ilegales según la Ley de Fraude al Consumidor de Nueva Jersey (N.J.S.A. 56:8-1 y siguientes). Esto significa que toda la gama de remedios de la Ley de Fraude al Consumidor está disponible para el Fiscal General.
Montos de las sanciones
Según la Ley de Fraude al Consumidor, el Fiscal General puede buscar sanciones civiles de hasta $10,000 por una primera infracción y hasta $20,000 por cada infracción posterior. Estas sanciones se aplican por violación individual, lo que significa que una sola práctica de datos que afecte a miles de consumidores podría resultar en sanciones acumulativas significativas.
Período de subsanación y el vencimiento del 15 de julio de 2026
Durante los primeros 18 meses posteriores a la fecha de entrada en vigor de la ley, la División de Asuntos del Consumidor debe emitir un aviso a un controlador antes de iniciar una acción de aplicación, siempre que se considere posible una corrección. El controlador entonces tiene 30 días para subsanar la infracción alegada después de recibir el aviso de incumplimiento. Esa ventana de 18 meses se extiende desde el 15 de enero de 2025 hasta el 15 de julio de 2026.
Después del 15 de julio de 2026, el período de subsanación obligatorio vence. La decisión de ofrecer una oportunidad de subsanación antes de tomar medidas de aplicación queda entonces enteramente a discreción del Fiscal General. Las empresas que aún no han completado sus programas de cumplimiento de la NJDPA enfrentan un riesgo de aplicación materialmente mayor después de esa fecha, porque el Fiscal General puede buscar sanciones sin dar primero una advertencia de 30 días.
Autoridad de reglamentación y reglamentos propuestos
La NJDPA otorga a la División de Asuntos del Consumidor autoridad para adoptar reglas y reglamentos para implementar y hacer cumplir la ley. La administración Murphy publicó reglamentos propuestos el 2 de junio de 2025, abriendo un período de comentarios públicos de 60 días que cerró el 1 de agosto de 2025. La administración Murphy no adoptó los reglamentos antes de que el gobernador Murphy dejara el cargo en enero de 2026.
La administración Sherrill heredó el proceso de reglamentación abierto. Según el procedimiento administrativo de Nueva Jersey, los reglamentos propuestos vencen a menos que se adopten y se archiven para su publicación dentro de un año de la fecha de propuesta original, es decir, para el 2 de junio de 2026. La División puede extender ese plazo hasta el 2 de diciembre de 2026 si realiza modificaciones sustanciales que requieran comentarios públicos adicionales. A partir de mayo de 2026, la administración Sherrill no ha anunciado si adoptará los reglamentos tal como se propusieron, los modificará, o reiniciará el proceso. El plazo del 2 de junio se acerca, y las empresas deben monitorear el Registro de Nueva Jersey para cualquier aviso de adopción.
Ley de Notificación de Violación de Datos de Nueva Jersey
Separada de la NJDPA, Nueva Jersey tiene una ley de notificación de violación de datos de larga data codificada en N.J.S.A. 56:8-161 a 56:8-166 (la Ley de Prevención del Robo de Identidad). Esta ley es anterior a la NJDPA y establece requisitos para notificar a los consumidores cuando su información personal ha sido comprometida.
Qué activa una notificación
Una "violación de seguridad" según la ley de Nueva Jersey significa el acceso no autorizado a archivos electrónicos, medios o datos que contienen información personal que compromete la seguridad, confidencialidad o integridad de esa información. La obligación de notificación no se activa si los datos estaban asegurados mediante cifrado u otro método que hace que la información sea ilegible o inutilizable.
Definición de información personal
"Información personal" según la ley de notificación de violaciones significa el primer nombre o la inicial del primer nombre y el apellido de una persona vinculados con uno o más de los siguientes:
- Número de Seguro Social
- Número de licencia de conducir o número de tarjeta de identificación estatal
- Número de cuenta, número de tarjeta de crédito o número de tarjeta de débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida que permitiera el acceso a una cuenta financiera
- Nombre de usuario, dirección de correo electrónico u otra información identificativa del titular de la cuenta combinada con cualquier contraseña o pregunta y respuesta de seguridad que permitiera el acceso a una cuenta en línea
Requisitos de notificación
Las empresas deben notificar a los residentes afectados de Nueva Jersey en el tiempo más expedito posible y sin demora injustificada después de descubrir una violación. La ley no especifica un número fijo de días, pero exige que cualquier retraso esté justificado por necesidades de las autoridades o medidas necesarias para determinar el alcance de la violación y restaurar la integridad del sistema.
Antes de notificar a los consumidores, las empresas y entidades públicas primero deben reportar la violación a la Policía Estatal de Nueva Jersey del Departamento de Derecho y Seguridad Pública para su investigación o manejo. Este es un requisito notable que distingue a Nueva Jersey de los estados que permiten la notificación simultánea.
Cuando una violación afecta a más de 1,000 residentes de Nueva Jersey, la empresa también debe notificar a las agencias de reporte de crédito al consumidor de alcance nacional sin demora injustificada.
Métodos de notificación
La notificación puede proporcionarse mediante aviso por escrito o aviso electrónico que cumpla con la Ley federal E-SIGN. Si la violación involucra solo nombres de usuario y contraseñas (sin otros elementos de información personal), se permite un aviso electrónico sustituto que indique a las personas cambiar sus credenciales.
Retraso por las autoridades
La notificación puede retrasarse si una agencia de aplicación de la ley determina que la divulgación impediría una investigación criminal o civil. La empresa debe proporcionar la notificación después de que las autoridades confirmen que la divulgación no comprometerá la investigación.
Excepción a la notificación
Una empresa o entidad pública no está obligada a proporcionar notificación si establece que el mal uso de la información comprometida no es razonablemente posible. Esta excepción exige que la entidad demuestre afirmativamente que el mal uso es improbable.
La Ley Daniel de Nueva Jersey y los corredores de datos
La Ley Daniel de Nueva Jersey (N.J.S.A. 56:8-166.1 y siguientes) es un estatuto separado que es anterior a la NJDPA y aborda un problema de privacidad de datos más estrecho pero significativo: la divulgación no autorizada de direcciones domiciliarias y números de teléfono no publicados de personas cubiertas, incluidos jueces, fiscales, oficiales de la ley y sus familiares inmediatos.
La ley prohíbe a los corredores de datos y otras entidades publicar o volver a divulgar esta información después de recibir una solicitud de eliminación de una persona cubierta. Las infracciones conllevan sanciones civiles significativas. Desde febrero de 2024, Atlas Data Privacy Corporation (como cesionaria de aproximadamente 19,000 personas cubiertas) ha presentado más de 140 demandas contra corredores de datos por presunto incumplimiento.

El estatus constitucional de la Ley Daniel está actualmente ante la Corte Suprema de Nueva Jersey. En octubre de 2025, la Corte Suprema de Nueva Jersey aceptó una pregunta certificada del Tercer Circuito sobre qué estado mental, si acaso, se requiere para establecer responsabilidad bajo la ley. Esa pregunta permanece pendiente a partir de mayo de 2026. El resultado podría afectar cuán ampliamente se interpretan esquemas similares de privacidad de datos con derecho de acción privado en Nueva Jersey.
Nueva Jersey todavía no cuenta con una ley integral de registro de corredores de datos aplicable a todos los consumidores (comparable al registro de corredores de datos de California según la CCPA o al registro de corredores de datos de Vermont). Se ha introducido en la legislatura un proyecto de ley que exigiría el registro general de corredores de datos, pero no ha sido promulgado a partir de mayo de 2026.
Superposición de la ley federal de privacidad
La ley federal se aplica junto con los estatutos estatales de Nueva Jersey. Varios marcos federales afectan directamente a los residentes y empresas de Nueva Jersey.
Ley TAKE IT DOWN (2025)
El Congreso promulgó la Ley TAKE IT DOWN (Pub. L. 119-12, Ley de Herramientas para Abordar la Explotación Conocida al Inmovilizar Tecnológicamente los Deepfakes en Sitios Web y Redes), firmada por el presidente Trump el 19 de mayo de 2025. La ley tiene dos componentes.
La prohibición criminal entró en vigor inmediatamente tras la firma. Prohíbe la publicación no consentida de representaciones visuales íntimas, incluidos los deepfakes generados por IA.
Las obligaciones de eliminación por parte de las plataformas entraron en vigor el 19 de mayo de 2026, un año después de la firma. Las plataformas cubiertas ahora deben establecer un proceso de aviso y eliminación y retirar el contenido calificado dentro de las 48 horas siguientes a recibir una solicitud válida de eliminación. La FTC aplica las infracciones de las plataformas como actos injustos o engañosos según la Sección 18(a)(1)(B) de la Ley de la FTC.
HIPAA
La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) rige la información de salud protegida en poder de entidades cubiertas (planes de salud, proveedores de atención médica, cámaras de compensación de atención médica) y sus asociados comerciales. HIPAA reemplaza la ley estatal solo cuando la regla estatal es menos protectora; las disposiciones de datos de salud de la NJDPA se aplican a los controladores fuera de la definición de entidad cubierta por HIPAA.
COPPA
La Ley de Protección de la Privacidad Infantil en Línea (COPPA) exige que los operadores de sitios web o servicios en línea dirigidos a menores de 13 años obtengan el consentimiento parental verificable antes de recopilar información personal. La aplicación de COPPA por parte de la FTC opera junto con las disposiciones de datos de menores de la NJDPA de Nueva Jersey.
GLBA
La Ley Gramm-Leach-Bliley (GLBA) rige cómo las instituciones financieras recopilan y comparten información personal no pública. Las instituciones financieras sujetas a la GLBA están exentas de la NJDPA a nivel de entidad, pero los datos regulados por la GLBA que son recopilados por separado por entidades no sujetas a la GLBA siguen sujetos a la NJDPA.
Sección 5 de la Ley de la FTC
La Sección 5 de la Ley de la FTC prohíbe los actos o prácticas injustas o engañosas que afectan el comercio. La FTC ha usado esta autoridad para perseguir fallas de seguridad de datos y privacidad por parte de empresas, independientemente de si se aplica un estatuto de privacidad específico del sector.
Ley Americana de Derechos de Privacidad (APRA)
El Congreso introdujo un proyecto de ley federal de privacidad bipartidista (la Ley Americana de Derechos de Privacidad) en 2024. No se aprobó. Una versión revisada, a veces llamada APRA 2.0, se introdujo en 2025. A partir de mayo de 2026, no se ha promulgado ninguna ley federal integral de privacidad del consumidor. La NJDPA de Nueva Jersey continúa rigiendo en ausencia de una preempción federal.
Tabla comparativa de sanciones
| Ley | Estatuto | Sanción por violación | Período de subsanación | Aplicación |
|---|---|---|---|---|
| NJDPA | N.J.S.A. 56:8-166.4 y siguientes | $10,000 primera / $20,000 subsiguiente | 30 días (vence el 15 de julio de 2026) | Fiscal General |
| Notificación de violaciones | N.J.S.A. 56:8-163 | Sanciones de la Ley de Fraude al Consumidor | Ninguno especificado | Fiscal General |
| Ley de Fraude al Consumidor | N.J.S.A. 56:8-1 y siguientes | $10,000 primera / $20,000 subsiguiente | Ninguno | Fiscal General |
| Ley Daniel | N.J.S.A. 56:8-166.1 y siguientes | Daños civiles más sanciones | Ninguno | Derecho de acción privado más el Fiscal General |
| Ley TAKE IT DOWN | Pub. L. 119-12 | Sanciones de la Ley de la FTC | Ninguno | FTC (federal) |
Qué hace diferente a la NJDPA de otras leyes estatales de privacidad
La NJDPA se distingue de otras leyes estatales integrales de privacidad en varios aspectos importantes.
Datos financieros como datos sensibles. Nueva Jersey es el único estado que clasifica ampliamente la información financiera como datos personales sensibles que requieren consentimiento de exclusión voluntaria previa antes del procesamiento. Otros estados normalmente dejan la regulación de datos financieros al marco federal de la GLBA.
Sin exención para organizaciones sin fines de lucro. La mayoría de las leyes estatales de privacidad eximen a las organizaciones sin fines de lucro. La NJDPA no lo hace, lo que significa que las organizaciones benéficas, los grupos de defensa, las organizaciones religiosas y otras entidades sin fines de lucro que cumplen con los umbrales de procesamiento deben cumplir con el alcance completo de la ley.
Sin exención para la educación superior. La NJDPA no exime a las instituciones de educación superior ni crea una exclusión para los datos regidos por FERPA. Las universidades y colegios que operan en Nueva Jersey deben cumplir.
Amplia definición de datos sensibles. Las categorías de datos sensibles de la NJDPA incluyen el estatus de ciudadanía e inmigración, así como la condición de persona transgénero o no binaria. Estas categorías no están universalmente incluidas en otras leyes estatales de privacidad.
Autoridad de reglamentación. A diferencia de la mayoría de las leyes estatales de privacidad que se aplican basándose únicamente en el texto estatutario, la NJDPA otorga a la División de Asuntos del Consumidor autoridad explícita para adoptar reglamentos de implementación, agregando una capa de incertidumbre hasta que esos reglamentos se finalicen.
Pasos prácticos de cumplimiento para las empresas
Las empresas que cumplen con los umbrales de aplicabilidad de la NJDPA deben tomar los siguientes pasos, particularmente dado que la red de seguridad del período de subsanación vence el 15 de julio de 2026.

1. Mapee sus flujos de datos. Identifique todos los datos personales que su organización recopila de los consumidores de Nueva Jersey, los propósitos para los cuales se procesan, y los terceros a quienes se divulgan. Este inventario es la base de cada otra obligación de cumplimiento.
2. Actualice su aviso de privacidad. Asegúrese de que su aviso de privacidad divulgue las categorías de datos personales recopilados, los propósitos del procesamiento, las categorías de destinatarios de terceros, y cómo los consumidores pueden ejercer sus derechos. El aviso debe ser claro y accesible.
3. Construya un proceso de respuesta a los derechos del consumidor. Establezca un mecanismo de recepción de solicitudes verificadas. Tiene 45 días para responder, con una extensión de 45 días permitida. También debe proporcionar un mecanismo de apelación con una ventana de respuesta de 60 días.
4. Respete las señales de exclusión universal. Configure su sitio web para reconocer y respetar el Control de Privacidad Global (GPC) y señales de exclusión similares a nivel de navegador. Esta obligación ha estado vigente desde el 15 de julio de 2025.
5. Audite el procesamiento de datos sensibles. Si procesa cualquiera de las categorías de datos sensibles de la NJDPA (incluyendo información financiera, datos de salud, biometría o geolocalización), confirme que ha obtenido consentimiento afirmativo de exclusión voluntaria previa para cada categoría antes de que comience el procesamiento.
6. Ejecute acuerdos de procesamiento de datos. Revise los contratos con todos los proveedores que procesan datos personales en su nombre. Los contratos deben incluir las disposiciones requeridas por la NJDPA que cubren la naturaleza y el propósito del procesamiento, el tipo de datos, la duración, y las obligaciones mutuas.
7. Realice evaluaciones de protección de datos. Complete evaluaciones por escrito antes de comenzar cualquier actividad de procesamiento de alto riesgo (publicidad dirigida, ventas de datos, perfilamiento, o procesamiento de datos sensibles). Mantenga las evaluaciones disponibles para revisión del Fiscal General.
8. Prepárese para el vencimiento del período de subsanación del 15 de julio de 2026. Después de esa fecha, el Fiscal General puede iniciar acciones de aplicación y buscar sanciones sin darle a su organización una oportunidad de subsanación anticipada de 30 días. Las brechas de cumplimiento que hoy podrían corregirse discretamente conllevarán un riesgo de aplicación total después de mediados de julio.
Cómo ejercer sus derechos de privacidad de datos en Nueva Jersey
Si usted es residente de Nueva Jersey y desea ejercer sus derechos bajo la NJDPA, comience localizando el aviso de privacidad o la política de privacidad en el sitio web de la empresa. El aviso de privacidad debe explicar cómo presentar solicitudes para acceder, corregir, eliminar u obtener una copia de sus datos personales, y cómo optar por excluirse de la publicidad dirigida, las ventas de datos, o el perfilamiento.
También puede habilitar un mecanismo de exclusión universal como el Control de Privacidad Global (GPC) en su navegador. Las empresas sujetas a la NJDPA están obligadas a respetar estas señales desde el 15 de julio de 2025.
Si una empresa niega su solicitud, tiene derecho a apelar. La empresa debe proporcionar un mecanismo de apelación y responder dentro de 60 días.
Si cree que una empresa ha violado sus derechos de privacidad de datos y no puede resolver el problema directamente, puede presentar una queja ante la División de Asuntos del Consumidor de Nueva Jersey del Departamento de Derecho y Seguridad Pública.
More New Jersey Laws
Looking for information on other New Jersey recording and privacy laws? Visit our Data Privacy Laws by State hub to compare New Jersey with other states. You can also explore related topics:
- New Jersey AI Meeting Recording Laws
- New Jersey Alimony Laws
- New Jersey At-Will Employment Laws
- New Jersey Car Accident Laws
- New Jersey Child Custody Laws
- New Jersey Child Support Laws
- New Jersey Common Law Marriage Laws
- New Jersey Deepfake Laws
- New Jersey Divorce Laws
- New Jersey Dog Bite Laws
- New Jersey Emancipation Laws
- New Jersey Expungement Laws
- New Jersey Hit and Run Laws
- New Jersey Landlord-Tenant Laws
- New Jersey Lemon Laws
- New Jersey Power of Attorney Laws
Guías detalladas
Fuentes y referencias
- Ley de Privacidad de Datos de Nueva Jersey (P.L. 2023, c.266 / S332)(njleg.state.nj.us).gov
- El Gobernador Murphy Firma Legislación que Protege los Datos del Consumidor(nj.gov).gov
- NJCCIC - Nueva Jersey Promulga una Ley Integral de Privacidad de Datos(cyber.nj.gov).gov
- División de Asuntos del Consumidor de NJ - Preguntas Frecuentes sobre la Ley de Privacidad de Datos(njconsumeraffairs.gov).gov
- Ley de Prevención del Robo de Identidad de NJ (N.J.S.A. 56:8-161 a 56:8-166)(njconsumeraffairs.gov).gov
- Resumen del Estatuto de Notificación de Violación de Datos de Nueva Jersey(dwt.com)
- Comisión Federal de Comercio - Ley Gramm-Leach-Bliley(ftc.gov).gov
- Control de Privacidad Global(globalprivacycontrol.org)
- Actualización sobre los Reglamentos de Privacidad Propuestos de Nueva Jersey (enero de 2026)(troutmanprivacy.com)