New Jersey
Derechos del Consumidor bajo la NJDPA: Ley de Privacidad de Nueva Jersey

La Ley de Privacidad de Datos de Nueva Jersey (NJDPA), N.J.S.A. 56:8-166.4 y siguientes, otorga a los residentes de Nueva Jersey el derecho a confirmar y acceder a los datos personales que una empresa mantiene sobre ellos, a corregir inexactitudes, a eliminar sus datos, a obtener una copia portátil, y a optar por no participar en la publicidad dirigida, la venta de datos personales y la elaboración de perfiles que produzca efectos legales o de importancia similar. Un responsable del tratamiento generalmente debe responder dentro de los 45 días posteriores a una solicitud verificada.
A partir de 2026, estos derechos están plenamente vigentes. Si un responsable del tratamiento rechaza una solicitud, debe explicar por qué y darle al consumidor una forma de apelar, y debe respetar una señal universal de exclusión voluntaria, como Global Privacy Control. La aplicación se realiza a través de la Fiscalía General de Nueva Jersey y la División de Asuntos del Consumidor bajo la Ley de Fraude al Consumidor, sin derecho de acción privado.
Alcance jurisdiccional: Esto cubre la Ley de Privacidad de Datos de Nueva Jersey (N.J.S.A. 56:8-166.4 y siguientes). Es información legal general, no asesoría legal.
Los derechos fundamentales del consumidor
La NJDPA otorga a los residentes de Nueva Jersey un conjunto conocido de derechos del consumidor, basado en el marco que comparten la mayoría de las leyes estatales de privacidad. Los derechos se aplican a un "consumidor", que conforme a N.J.S.A. 56:8-166.4 significa un residente de Nueva Jersey que actúa en un contexto individual o doméstico, no alguien que actúa en un rol comercial o laboral.
Un consumidor puede confirmar si un responsable del tratamiento está procesando sus datos personales y acceder a esos datos. Un consumidor puede corregir inexactitudes, teniendo en cuenta la naturaleza de los datos y el propósito del procesamiento. Un consumidor puede eliminar los datos personales que el responsable del tratamiento mantiene sobre él. Un consumidor también puede obtener una copia de sus datos personales en un formato portátil y, en la medida en que sea técnicamente factible, fácilmente utilizable, que permita transmitir los datos a otro responsable del tratamiento.
Junto con estos derechos de tipo acceso, la NJDPA otorga a los consumidores tres derechos de exclusión voluntaria. Un consumidor puede optar por no participar en el procesamiento de datos personales para publicidad dirigida, la venta de datos personales y la elaboración de perfiles en apoyo de decisiones que produzcan efectos legales o de importancia similar respecto del consumidor.
El plazo de respuesta de 45 días
Las reglas de tiempo se encuentran en N.J.S.A. 56:8-166.7. Un responsable del tratamiento que reciba una solicitud verificada del consumidor debe responder sin demora indebida y, en todo caso, dentro de los 45 días posteriores a la recepción de la solicitud.
El responsable del tratamiento puede extender ese período una vez por 45 días adicionales cuando sea razonablemente necesario, considerando la complejidad y el número de las solicitudes del consumidor. Para usar la extensión, el responsable del tratamiento debe informar al consumidor sobre la extensión, y el motivo de esta, dentro del plazo inicial de 45 días.
Las solicitudes generalmente son gratuitas. Un responsable del tratamiento puede cobrar una tarifa razonable, o negarse a actuar, únicamente cuando una solicitud sea manifiestamente infundada, excesiva o repetitiva. En esa situación, el responsable del tratamiento asume la carga de demostrar que la solicitud cumple con ese estándar, por lo que, de manera predeterminada, la solicitud del consumidor se atiende sin costo.
Verificación del consumidor y de la solicitud
Antes de actuar, un responsable del tratamiento debe poder autenticar que la solicitud proviene del consumidor al que concierne. Si un responsable del tratamiento no puede autenticar una solicitud mediante esfuerzos comercialmente razonables, no está obligado a cumplirla y puede solicitar al consumidor información adicional razonablemente necesaria para autenticar la solicitud.
Este paso de verificación protege a los consumidores de que otra persona acceda, cambie o elimine sus datos. También significa que un consumidor puede necesitar proporcionar suficiente información para confirmar su identidad antes de que un responsable del tratamiento libere o elimine los datos.
Para las solicitudes presentadas a través de un agente autorizado, incluida una señal de exclusión voluntaria basada en el navegador para los derechos de exclusión voluntaria, el responsable del tratamiento puede usar tecnología para determinar si el consumidor es residente de Nueva Jersey y si el agente está autorizado para actuar en nombre del consumidor.

Apelaciones cuando un responsable del tratamiento se niega
Si un responsable del tratamiento se niega a actuar sobre una solicitud, el consumidor no llega a un callejón sin salida. Conforme a N.J.S.A. 56:8-166.6 y 56:8-166.7, un responsable del tratamiento que se niega debe informar al consumidor, sin demora indebida y dentro del plazo de 45 días, sobre la justificación de la negativa y cómo apelar.
El responsable del tratamiento debe establecer un proceso visible y fácilmente accesible para que un consumidor apele la negativa. Dentro de un plazo razonable después de recibir una apelación, el responsable del tratamiento debe informar al consumidor por escrito sobre cualquier acción tomada o no tomada en respuesta, con una explicación por escrito de los motivos.
Si se deniega la apelación, el responsable del tratamiento también debe proporcionar al consumidor un mecanismo en línea, si está disponible, u otro método para comunicarse con la División de Asuntos del Consumidor del Departamento de Derecho y Seguridad Pública para presentar una queja. Esto le da a los consumidores una vía hacia el regulador cuando una empresa no resuelve la solicitud.
Exclusiones voluntarias y el mecanismo universal de exclusión voluntaria
Los tres derechos de exclusión voluntaria, que abarcan la publicidad dirigida, la venta de datos personales y cierta elaboración de perfiles, son fundamentales para el funcionamiento práctico de la NJDPA. Un responsable del tratamiento debe darle a los consumidores una forma clara y visible de ejercer cada uno de estos derechos, típicamente a través de enlaces o configuraciones en su aviso de privacidad.
La NJDPA también exige que los responsables del tratamiento reconozcan un mecanismo universal de exclusión voluntaria. Se trata de una configuración del navegador o dispositivo, como Global Privacy Control, que indica la elección de un consumidor de optar por no participar en la publicidad dirigida y la venta de datos personales, sin necesidad de completar un formulario en cada sitio web. La obligación de respetar dicha señal entró en vigor a más tardar seis meses después de la fecha de vigencia del 15 de enero de 2025, es decir, aproximadamente el 15 de julio de 2025.
Cuando un consumidor envía una señal universal de exclusión voluntaria, el responsable del tratamiento debe tratarla como una solicitud válida de exclusión voluntaria para ese navegador o dispositivo. El mecanismo no puede perjudicar injustamente a otro responsable del tratamiento, no puede ser una configuración predeterminada que entre en conflicto con la elección expresa del consumidor, y debe ser amigable para el consumidor y fácil de usar.

Datos sensibles y el requisito de consentimiento para información financiera
Algunos datos conllevan un estándar más alto. Conforme a N.J.S.A. 56:8-166.4, los datos sensibles no pueden procesarse sin el consentimiento previo (opt-in) del consumidor, y la categoría de datos sensibles de Nueva Jersey es inusualmente amplia.
Los datos sensibles en Nueva Jersey incluyen la información financiera, definida como el número de cuenta de un consumidor, sus credenciales de acceso a la cuenta, su cuenta financiera, o su número de tarjeta de crédito o débito combinado con cualquier código de seguridad, código de acceso o contraseña requerida que permitiera el acceso a la cuenta. También incluye el estatus de persona transgénero o no binaria, junto con los datos que revelen el origen racial o étnico, las creencias religiosas, la condición, tratamiento o diagnóstico de salud, la vida sexual o la orientación sexual, el estatus de ciudadanía o migratorio, los datos genéticos o biométricos, los datos personales de un menor identificado como tal y los datos precisos de geolocalización.
Debido a que la información financiera se trata como sensible, una empresa que procesa ese tipo de datos de credenciales de pago con propósitos que no sean de pago generalmente necesita primero el consentimiento afirmativo del consumidor. El consentimiento bajo la Ley debe ser un acto afirmativo claro, otorgado libremente, específico, informado e inequívoco, y no puede obtenerse mediante patrones de diseño engañosos. Los consumidores también conservan el derecho de revocar el consentimiento.
Protecciones para adolescentes de 13 a 16 años
La NJDPA agrega una capa adicional de protección para los adolescentes. Cuando un responsable del tratamiento sabe que un consumidor tiene al menos 13 años y es menor de 17 años, debe obtener consentimiento antes de procesar los datos personales de ese consumidor para publicidad dirigida, la venta de datos personales o la elaboración de perfiles.
Para los adolescentes en ese rango de 13 a 16 años, el enfoque habitual de exclusión voluntaria no es suficiente. El responsable del tratamiento necesita consentimiento afirmativo antes de poder usar sus datos para esas tres actividades de alto impacto. Esto abarca un grupo de edad que la Ley Federal de Protección de la Privacidad en Línea de los Niños, que cubre a los menores de 13 años, no aborda.
Los datos personales recopilados de un menor de 13 años identificado como tal son en sí mismos datos sensibles conforme a N.J.S.A. 56:8-166.4, por lo que ya requieren consentimiento. En conjunto, estas reglas otorgan a los menores de Nueva Jersey una protección más amplia que los derechos del consumidor que se aplican a los adultos.
Derechos y plazos de un vistazo
La siguiente tabla resume los derechos del consumidor y las reglas clave de tiempo. Los plazos son mínimos legales; un responsable del tratamiento siempre puede responder más rápido.
| Derecho o paso | Qué cubre | Plazo |
|---|---|---|
| Confirmar y acceder | Confirmar el procesamiento y obtener una copia de los datos | 45 días (una extensión de 45 días) |
| Corregir | Corregir datos personales inexactos | 45 días |
| Eliminar | Borrar los datos personales que mantiene el responsable del tratamiento | 45 días |
| Portabilidad | Recibir los datos en un formato portátil y utilizable | 45 días |
| Exclusión voluntaria (publicidad dirigida, venta, elaboración de perfiles) | Detener esas actividades de procesamiento | Respetar con prontitud; reconocer la señal universal |
| Apelar | Impugnar una negativa a actuar | Tiempo razonable, por escrito, luego remitir a la División de Asuntos del Consumidor |
| Datos sensibles | Información financiera, estatus de persona transgénero o no binaria, y más | Se requiere consentimiento previo antes del procesamiento |
Para conocer cómo una empresa pone en práctica estos derechos, consulte la lista de verificación de cumplimiento de la NJDPA.
More New Jersey Laws
- New Jersey AI Meeting Recording Laws
- New Jersey Alimony Laws
- New Jersey At-Will Employment Laws
- New Jersey Car Accident Laws
- New Jersey Child Custody Laws
- New Jersey Child Support Laws
- New Jersey Common Law Marriage Laws
- New Jersey Deepfake Laws
- New Jersey Divorce Laws
- New Jersey Dog Bite Laws
- New Jersey Emancipation Laws
- New Jersey Expungement Laws
- New Jersey Hit and Run Laws
- New Jersey Landlord-Tenant Laws
- New Jersey Lemon Laws
- New Jersey Power of Attorney Laws
Guías relacionadas
Preguntas frecuentes
¿Qué derechos otorga la NJDPA a los consumidores de Nueva Jersey?
Conforme a la NJDPA, N.J.S.A. 56:8-166.4 y siguientes, un consumidor de Nueva Jersey puede confirmar y acceder a los datos personales que mantiene un responsable del tratamiento, corregir inexactitudes, eliminar los datos y obtener una copia portátil. El consumidor también puede optar por no participar en el procesamiento de datos personales para publicidad dirigida, la venta de datos personales y la elaboración de perfiles en apoyo de decisiones que produzcan efectos legales o de importancia similar.
¿Cuánto tiempo tiene una empresa para responder a mi solicitud?
Conforme a N.J.S.A. 56:8-166.7, un responsable del tratamiento debe responder dentro de los 45 días posteriores a la recepción de una solicitud verificada. Puede extender ese período una vez por 45 días adicionales cuando sea razonablemente necesario, pero solo si le informa sobre la extensión y el motivo dentro de los primeros 45 días. Las solicitudes generalmente son gratuitas, a menos que sean manifiestamente infundadas, excesivas o repetitivas.
¿Puedo apelar si una empresa rechaza mi solicitud bajo la NJDPA?
Sí. Conforme a N.J.S.A. 56:8-166.6 y 56:8-166.7, si un responsable del tratamiento se niega a actuar, debe explicar por qué y proporcionar un proceso de apelación visible y fácilmente accesible. Debe responder a la apelación por escrito con sus motivos dentro de un plazo razonable. Si se deniega la apelación, el responsable del tratamiento debe darle una forma de comunicarse con la División de Asuntos del Consumidor de Nueva Jersey para presentar una queja.
¿La NJDPA exige respetar Global Privacy Control?
Sí. La NJDPA exige que los responsables del tratamiento reconozcan un mecanismo universal de exclusión voluntaria, como Global Privacy Control, una señal del navegador o dispositivo que lo excluye de la publicidad dirigida y la venta de sus datos personales. Esa obligación entró en vigor a más tardar seis meses después de la fecha de vigencia del 15 de enero de 2025, es decir, aproximadamente el 15 de julio de 2025.
¿Mi información financiera está protegida como dato sensible?
Sí. Conforme a N.J.S.A. 56:8-166.4, los datos sensibles incluyen la información financiera, es decir, el número de cuenta de un consumidor, sus credenciales de acceso a la cuenta, su cuenta financiera, o su número de tarjeta de crédito o débito combinado con un código de seguridad, código de acceso o contraseña requerida que permita el acceso a la cuenta. La mayoría de los estados no tratan la información financiera como sensible, y en Nueva Jersey el procesamiento de datos sensibles requiere su consentimiento previo (opt-in).
¿Qué protecciones otorga la NJDPA a los adolescentes?
Cuando un responsable del tratamiento sabe que un consumidor tiene al menos 13 años y es menor de 17 años, la NJDPA exige consentimiento antes de procesar los datos personales de ese adolescente para publicidad dirigida, la venta de datos o la elaboración de perfiles. Para los adolescentes en ese rango, la exclusión voluntaria no es suficiente; se requiere consentimiento afirmativo. Los datos recopilados de un menor de 13 años identificado como tal son datos sensibles, por lo que también requieren consentimiento.
¿Tengo derecho a optar por no participar en la venta de mis datos?
Sí. La NJDPA otorga a los consumidores el derecho a optar por no participar en la venta de sus datos personales, en la publicidad dirigida y en la elaboración de perfiles que produzca efectos legales o de importancia similar. Un responsable del tratamiento debe proporcionar una forma clara de ejercer estos derechos y también debe reconocer una señal universal de exclusión voluntaria, como Global Privacy Control.
¿Puedo demandar a una empresa bajo la NJDPA?
No. La NJDPA no crea un derecho de acción privado, por lo que una persona generalmente no puede demandar directamente a una empresa por una infracción. La aplicación se realiza a través de la Fiscalía General de Nueva Jersey y la División de Asuntos del Consumidor bajo la Ley de Fraude al Consumidor. Si un responsable del tratamiento no resuelve su solicitud, puede presentar una queja ante la División de Asuntos del Consumidor.
Fuentes y referencias
- N.J.S.A. 56:8-166.4: Definiciones (Consumidor, Datos Sensibles)(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.6: Aviso de Privacidad, Derechos del Consumidor y Apelaciones(pub.njleg.state.nj.us).gov
- N.J.S.A. 56:8-166.7: Solicitud Verificada, Período de Respuesta de 45 Días(pub.njleg.state.nj.us).gov
- Legislatura de Nueva Jersey: Página del Proyecto de Ley S332 (Sesión 2022-2023)(njleg.state.nj.us).gov
- División de Asuntos del Consumidor de Nueva Jersey(njconsumeraffairs.gov).gov
- NJCCIC: Nueva Jersey Promulga una Ley Integral de Privacidad de Datos(cyber.nj.gov).gov