New Jersey
Lista de Verificación de Cumplimiento de la NJDPA: Privacidad de Nueva Jersey

Cumplir con la Ley de Privacidad de Datos de Nueva Jersey (NJDPA), N.J.S.A. 56:8-166.4 y siguientes, comienza por confirmar si la ley se aplica, luego publicar un aviso de privacidad conforme, establecer flujos de trabajo de derechos del consumidor y apelaciones, obtener consentimiento previo (opt-in) para datos sensibles, incluida la información financiera, reconocer una señal universal de exclusión voluntaria, documentar evaluaciones de protección de datos y vincular a los encargados del tratamiento mediante contratos por escrito. El Director de la División de Asuntos del Consumidor también está redactando reglas activamente, por lo que la capa regulatoria debe rastrearse junto con el estatuto.
A partir de 2026, el momento importa. La ley entró en vigor el 15 de enero de 2025, la obligación de exclusión voluntaria universal comenzó alrededor del 15 de julio de 2025, y el derecho a corregir de 30 días está programado para expirar aproximadamente 18 meses después de la fecha de vigencia, alrededor del 15 de julio de 2026, por lo que el período de gracia garantizado está en sus últimas semanas. Las sanciones se rigen por la Ley de Fraude al Consumidor, con hasta $10,000 por la primera infracción y $20,000 por cada infracción subsiguiente.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos de Nueva Jersey (N.J.S.A. 56:8-166.4 y siguientes). Es información legal general, no asesoría legal.
Paso 1: Confirme la aplicabilidad, incluido el desencadenante del descuento
El primer paso es el análisis de umbral conforme a N.J.S.A. 56:8-166.5. La NJDPA se aplica a un responsable del tratamiento que realiza negocios en Nueva Jersey, o que produce productos o servicios dirigidos a residentes de Nueva Jersey, y que durante un año calendario cumple con uno de dos umbrales de datos.
El desencadenante alto es controlar o procesar los datos personales de al menos 100,000 consumidores, excluyendo los datos procesados únicamente para completar una transacción de pago. El desencadenante bajo es al menos 25,000 consumidores, combinado con la obtención de ingresos, o de un descuento en el precio de bienes o servicios, a partir de la venta de datos personales.
Preste mucha atención al desencadenante bajo. No existe un piso de porcentaje de ingresos, por lo que una empresa con 25,000 consumidores queda cubierta si obtiene cualquier ingreso, por mínimo que sea, de la venta de datos, o incluso si simplemente recibe un descuento a cambio de datos. Un acuerdo de datos por descuento con un proveedor puede activar la cobertura. Cuente únicamente a los residentes de Nueva Jersey que actúan en un contexto individual o doméstico; conforme a N.J.S.A. 56:8-166.4, los empleados y los contactos comerciales entre empresas generalmente no cuentan.
Paso 2: Publique un aviso de privacidad conforme
Un responsable del tratamiento cubierto debe proporcionar a los consumidores un aviso de privacidad razonablemente accesible, claro y significativo conforme a N.J.S.A. 56:8-166.6. El aviso es el registro público de cómo la empresa maneja los datos personales, y es lo primero que leerá un regulador.
El aviso debe describir las categorías de datos personales procesados, los propósitos del procesamiento, las categorías de datos compartidos con terceros y las categorías de esos terceros, y cómo los consumidores pueden ejercer sus derechos. También debe explicar cómo un consumidor puede apelar la decisión de un responsable del tratamiento sobre una solicitud, y cómo el responsable del tratamiento notifica a los consumidores sobre cambios sustanciales al aviso.
Si la empresa vende datos personales o los procesa para publicidad dirigida, el aviso debe divulgar esto claramente y explicar cómo optar por no participar, incluso a través de un mecanismo universal de exclusión voluntaria. Las reglas propuestas por la División de Asuntos del Consumidor agregan detalles sobre claridad, accesibilidad y la prevención de patrones de diseño engañosos, por lo que el aviso debe construirse conforme al estándar más alto entre el estatuto y las reglas propuestas.
Paso 3: Establezca flujos de trabajo de derechos del consumidor y apelaciones
Los responsables del tratamiento cubiertos necesitan un proceso funcional para recibir y atender las solicitudes de los consumidores de confirmar y acceder, corregir, eliminar y trasladar los datos personales, y para respetar los derechos de exclusión voluntaria. El plazo de respuesta conforme a N.J.S.A. 56:8-166.7 es de 45 días, con una extensión de 45 días adicionales cuando sea razonablemente necesario, por lo que el flujo de trabajo de recepción y verificación debe completarse dentro de ese plazo.
Incorpore un paso de autenticación. Un responsable del tratamiento no está obligado a cumplir con una solicitud que no pueda autenticar mediante esfuerzos comercialmente razonables, y puede solicitar información adicional para verificar al consumidor. Mantenga las solicitudes sin costo, excepto cuando sean manifiestamente infundadas, excesivas o repetitivas, y esté preparado para asumir la carga de probar ese estándar si se cobra una tarifa o se rechaza una solicitud.
El proceso de apelación es obligatorio, no opcional. Conforme a N.J.S.A. 56:8-166.6 y 56:8-166.7, una negativa debe ir acompañada de una justificación por escrito y un mecanismo de apelación visible, y una apelación denegada debe remitir al consumidor a la División de Asuntos del Consumidor. La guía de derechos del consumidor bajo la NJDPA explica cada derecho en detalle.

Paso 4: Consentimiento previo para datos sensibles, incluida la información financiera
Los datos sensibles requieren consentimiento previo (opt-in) antes de su procesamiento, y la definición de Nueva Jersey en N.J.S.A. 56:8-166.4 es amplia. Compare cuidadosamente su inventario de datos con esta definición, porque dos categorías toman por sorpresa a muchas empresas.
Primero, la información financiera es sensible en Nueva Jersey. Esto abarca el número de cuenta de un consumidor, sus credenciales de acceso a la cuenta, su cuenta financiera, o su número de tarjeta de crédito o débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida que permitiera el acceso a la cuenta. Muchas empresas que manejan credenciales de pago con propósitos más allá de completar una transacción necesitarán consentimiento. Segundo, el estatus de persona transgénero o no binaria es un dato sensible.
La lista completa también incluye el origen racial o étnico, las creencias religiosas, la condición, tratamiento o diagnóstico de salud, la vida sexual o la orientación sexual, el estatus de ciudadanía o migratorio, los datos genéticos o biométricos, los datos de un menor identificado como tal y la geolocalización precisa. El consentimiento debe ser un acto afirmativo otorgado libremente, específico, informado e inequívoco, no puede obtenerse mediante patrones de diseño engañosos y debe ser revocable. Cuando no pueda obtener el consentimiento, deje de procesar esos datos sensibles.
Paso 5: Reconozca un mecanismo universal de exclusión voluntaria
La NJDPA exige que los responsables del tratamiento respeten un mecanismo universal de exclusión voluntaria, como Global Privacy Control, que permite a los consumidores optar por no participar en la publicidad dirigida y la venta de datos personales a través de una configuración del navegador o del dispositivo. Esta obligación entró en vigor a más tardar seis meses después de la fecha de vigencia del 15 de enero de 2025, es decir, aproximadamente el 15 de julio de 2025, por lo que ya está vigente a partir de 2026.
Implemente la detección de la señal de modo que, cuando el navegador o dispositivo de un consumidor envíe una preferencia de exclusión voluntaria, la empresa la trate como una exclusión voluntaria válida para ese navegador o dispositivo. No condicione el reconocimiento a que el consumidor también complete un formulario separado, y no permita que una configuración predeterminada anule la elección expresa del consumidor.
Pruebe la implementación. Una brecha de cumplimiento común es un aviso de privacidad que promete respetar las señales universales mientras la infraestructura de tecnología publicitaria del sitio web sigue cargando silenciosamente etiquetas de segmentación. La exclusión voluntaria debe surtir efecto realmente en las etapas posteriores.

Paso 6: Evaluaciones de protección de datos y contratos con encargados del tratamiento
Conforme a N.J.S.A. 56:8-166.16, un responsable del tratamiento debe realizar y documentar una evaluación de protección de datos para el procesamiento que presente un riesgo elevado de daño a los consumidores. Esto incluye el procesamiento para publicidad dirigida, la venta de datos personales, cierta elaboración de perfiles y el procesamiento de datos sensibles. La evaluación sopesa los beneficios del procesamiento frente a los riesgos para los consumidores, mitigados por las salvaguardas.
Conserve estas evaluaciones en archivo. La Fiscalía General puede exigir que un responsable del tratamiento divulgue una evaluación relevante en relación con una investigación, por lo que la documentación debe conservarse y mantenerse actualizada a medida que cambien las actividades de procesamiento.
Los responsables del tratamiento también deben vincular a cada encargado del tratamiento mediante un contrato por escrito. El contrato debe establecer las instrucciones de procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos y la duración, los deberes de confidencialidad, la eliminación o devolución de los datos, y el deber del encargado del tratamiento de asistir al responsable del tratamiento y de poner a disposición la información necesaria para demostrar el cumplimiento. Revise los acuerdos existentes con proveedores y agregue términos conformes a la NJDPA donde falten.
Paso 7: Rastree el proceso de reglamentación y el vencimiento del período de corrección
Dos elementos de tiempo merecen un lugar en todo calendario de cumplimiento de la NJDPA. Primero, la División de Asuntos del Consumidor está redactando reglas activamente. Se instruye al Director a adoptar reglamentos para implementar la Ley, y las reglas propuestas se publicaron el 2 de junio de 2025, con un período de comentarios que se extendió hasta el 1 de agosto de 2025. Esas reglas pueden agregar obligaciones más allá del estatuto, así que esté atento a la versión adoptada y ajuste en consecuencia.
Segundo, el derecho a corregir es temporal. La NJDPA otorga a un responsable del tratamiento 30 días para corregir una presunta infracción después de recibir el aviso de la División de Asuntos del Consumidor, pero ese derecho de corrección expira aproximadamente 18 meses después de la fecha de vigencia, alrededor del 15 de julio de 2026. A mediados de 2026, la ventana de corrección garantizada está en sus últimas semanas, y una vez que expire, la Fiscalía General podrá iniciar acciones de cumplimiento sin ofrecer primero la oportunidad de corregir el problema.
La aplicación se rige por la Ley de Fraude al Consumidor de Nueva Jersey, con sanciones civiles de hasta $10,000 por la primera infracción y $20,000 por cada infracción subsiguiente, además de los otros remedios disponibles bajo esa Ley. No existe un derecho de acción privado, por lo que la Fiscalía General y la División de Asuntos del Consumidor son quienes hacen cumplir la ley.
Lista de verificación de cumplimiento de un vistazo
| Paso | Acción | Autoridad |
|---|---|---|
| 1 | Confirme la aplicabilidad, incluido el desencadenante de venta de datos o descuento en 25,000 consumidores | N.J.S.A. 56:8-166.5 |
| 2 | Publique un aviso de privacidad claro con información sobre derechos y apelaciones | N.J.S.A. 56:8-166.6 |
| 3 | Establezca flujos de trabajo de solicitud, verificación y apelación dentro de 45 días | N.J.S.A. 56:8-166.7 |
| 4 | Obtenga consentimiento previo para datos sensibles, incluida la información financiera | N.J.S.A. 56:8-166.4 |
| 5 | Reconozca un mecanismo universal de exclusión voluntaria (aproximadamente para el 15 de julio de 2025) | Obligación de exclusión voluntaria de la NJDPA |
| 6 | Documente las evaluaciones y firme contratos conformes con los encargados del tratamiento | N.J.S.A. 56:8-166.16 |
| 7 | Rastree el proceso de reglamentación; tenga en cuenta el vencimiento del período de corrección alrededor del 15 de julio de 2026 | N.J.S.A. 56:8-166.19 |
Para conocer la ley subyacente y cómo se compara con otros estados, consulte el resumen de ¿Qué es la NJDPA?
More New Jersey Laws
- New Jersey AI Meeting Recording Laws
- New Jersey Alimony Laws
- New Jersey At-Will Employment Laws
- New Jersey Car Accident Laws
- New Jersey Child Custody Laws
- New Jersey Child Support Laws
- New Jersey Common Law Marriage Laws
- New Jersey Deepfake Laws
- New Jersey Divorce Laws
- New Jersey Dog Bite Laws
- New Jersey Emancipation Laws
- New Jersey Expungement Laws
- New Jersey Hit and Run Laws
- New Jersey Landlord-Tenant Laws
- New Jersey Lemon Laws
- New Jersey Power of Attorney Laws
Guías relacionadas
Preguntas frecuentes
¿Cómo sé si la NJDPA se aplica a mi empresa?
Conforme a N.J.S.A. 56:8-166.5, la NJDPA se aplica si usted realiza negocios en Nueva Jersey o se dirige a residentes de Nueva Jersey y, durante un año calendario, controla o procesa los datos personales de al menos 100,000 consumidores, o de al menos 25,000 consumidores mientras obtiene algún ingreso, o un descuento, de la venta de datos personales. Cuente únicamente a los residentes de Nueva Jersey en un contexto individual o doméstico; el desencadenante bajo no tiene un piso de porcentaje de ingresos.
¿El desencadenante de venta de datos de la NJDPA tiene un piso de porcentaje de ingresos?
No. El desencadenante de 25,000 consumidores de Nueva Jersey conforme a N.J.S.A. 56:8-166.5 se aplica si el responsable del tratamiento obtiene algún ingreso, por mínimo que sea, o incluso recibe un descuento en bienes o servicios, a partir de la venta de datos personales. A diferencia de los estados que exigen una proporción fija de ingresos provenientes de la venta de datos, Nueva Jersey no tiene un piso de porcentaje, por lo que una pequeña venta de datos o un acuerdo de datos por descuento puede hacer que una empresa quede cubierta.
¿Necesito consentimiento para procesar información financiera bajo la NJDPA?
A menudo, sí. Conforme a N.J.S.A. 56:8-166.4, la información financiera es un dato sensible, lo que significa el número de cuenta de un consumidor, sus credenciales de acceso a la cuenta, su cuenta financiera, o su número de tarjeta de crédito o débito combinado con un código de seguridad, código de acceso o contraseña requerida. El procesamiento de datos sensibles requiere consentimiento previo (opt-in), por lo que el manejo de credenciales de pago con propósitos más allá de completar una transacción generalmente requiere el consentimiento afirmativo del consumidor.
¿Cuándo comenzó el requisito de exclusión voluntaria universal?
La NJDPA exige que los responsables del tratamiento reconozcan un mecanismo universal de exclusión voluntaria, como Global Privacy Control, a más tardar seis meses después de la fecha de vigencia del 15 de enero de 2025, es decir, aproximadamente el 15 de julio de 2025. A partir de 2026, las empresas deben detectar y respetar estas señales del navegador o dispositivo para excluir a los consumidores de la publicidad dirigida y la venta de datos personales.
¿Cuándo termina el período de corrección de la NJDPA?
La NJDPA otorga a un responsable del tratamiento 30 días para corregir una presunta infracción después de recibir el aviso de la División de Asuntos del Consumidor, pero ese derecho de corrección expira aproximadamente 18 meses después de la fecha de vigencia, alrededor del 15 de julio de 2026. A mediados de 2026, la ventana de corrección garantizada está en sus últimas semanas, después de lo cual la Fiscalía General puede iniciar acciones de cumplimiento sin ofrecer primero la oportunidad de corregir.
¿Cuáles son las sanciones por infringir la NJDPA?
La aplicación se rige por la Ley de Fraude al Consumidor de Nueva Jersey, con sanciones civiles de hasta $10,000 por la primera infracción y $20,000 por cada infracción subsiguiente, además de los otros remedios que esa Ley proporciona. La Fiscalía General de Nueva Jersey y la División de Asuntos del Consumidor hacen cumplir la ley, y no existe un derecho de acción privado.
¿Necesito realizar evaluaciones de protección de datos?
Sí, para el procesamiento de mayor riesgo. Conforme a N.J.S.A. 56:8-166.16, un responsable del tratamiento debe realizar y documentar una evaluación de protección de datos para el procesamiento que presente un riesgo elevado de daño, incluyendo la publicidad dirigida, la venta de datos personales, cierta elaboración de perfiles y el procesamiento de datos sensibles. Conserve las evaluaciones en archivo, porque la Fiscalía General puede exigir su divulgación en una investigación.
¿Nueva Jersey está redactando regulaciones de privacidad?
Sí. La NJDPA instruye al Director de la División de Asuntos del Consumidor a adoptar reglas para implementar la Ley, y la División publicó regulaciones de privacidad propuestas el 2 de junio de 2025, con comentarios que vencían el 1 de agosto de 2025. Las reglas propuestas abordan el detalle del aviso de privacidad, los patrones de diseño engañosos y el consentimiento, por lo que las empresas deben rastrear el proceso de reglamentación y cumplir con las reglas adoptadas además del estatuto.
Fuentes y referencias
- N.J.S.A. 56:8-166.4: Definiciones (Datos Sensibles, Información Financiera)(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.5: Aplicabilidad y Umbrales(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.6: Aviso de Privacidad y Derechos del Consumidor(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.7: Solicitud Verificada y Respuesta de 45 Días(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.16: Evaluaciones de Protección de Datos y Obligaciones del Encargado del Tratamiento(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.19: Autoridad y Aplicación(pub.njleg.state.nj.us).gov
- División de Asuntos del Consumidor de Nueva Jersey(njconsumeraffairs.gov).gov
- NJCCIC: Nueva Jersey Promulga una Ley Integral de Privacidad de Datos(cyber.nj.gov).gov
- Legislatura de Nueva Jersey: Página del Proyecto de Ley S332 (Sesión 2022-2023)(njleg.state.nj.us).gov