New York
Leyes de Privacidad de Datos de Nueva York: Ley SHIELD y Derechos del Consumidor (2026)

Nueva York tiene uno de los historiales de aplicación de privacidad de datos más activos de Estados Unidos. El estado opera sin un único estatuto integral de privacidad del consumidor, pero las capas de leyes específicas crean obligaciones que, en conjunto, cubren la mayor parte del terreno que las leyes generales cubren en otros lugares.
La piedra angular es la Ley SHIELD (N.Y. Gen. Bus. Law secciones 899-aa y 899-bb), que impone deberes de notificación de violaciones y un estándar de "salvaguardas razonables" a cualquier empresa que posea información privada sobre un residente de Nueva York, sin importar dónde esté ubicada esa empresa. La gobernadora Hochul firmó enmiendas a la Ley en diciembre de 2024, reduciendo los plazos de notificación a 30 días y ampliando la definición de "información privada" para incluir datos médicos y de seguro médico, con vigencia desde el 21 de marzo de 2025.
Además de la Ley SHIELD, el Departamento de Servicios Financieros (DFS) opera uno de los regímenes de ciberseguridad más estrictos del país bajo el 23 NYCRR Parte 500. La Ley de Información de Identificador Biométrico de la Ciudad de Nueva York regula el uso comercial de datos biométricos dentro de los límites de la ciudad. La Sección 52-c de la Ley Laboral exige a los empleadores divulgar el monitoreo electrónico. La Sección 2-d de la Ley de Educación protege los datos de los estudiantes. Y la Fiscalía General del estado ha recaudado decenas de millones de dólares en sanciones de aplicación de la ley solo desde 2024.
Nueva York todavía no cuenta con una ley amplia de privacidad del consumidor comparable a la CCPA de California o la VCDPA de Virginia. Múltiples versiones de una "Ley de Privacidad de Nueva York" han circulado en la legislatura desde 2019, pero ninguna se ha aprobado hasta mayo de 2026. Los residentes que quieran entender qué derechos tienen actualmente deben consultar estas leyes específicas por sector y enfocadas en seguridad, en lugar de esperar un estatuto integral.
La Ley SHIELD: La Ley de Seguridad de Datos y Notificación de Violaciones de Nueva York
La Sección 899-aa de la Ley General de Negocios de Nueva York regula la notificación de violaciones de datos. La Sección 899-bb regula la obligación continua de mantener seguridad de datos razonable. Juntas, estas dos disposiciones forman la Ley SHIELD, promulgada en 2019.
Alcance: Quién Debe Cumplir
La Ley SHIELD se aplica a cualquier persona o empresa que posea u otorgue licencias de "información privada" de residentes de Nueva York, incluso si esa empresa no tiene presencia física en Nueva York. No existe un umbral de ingresos o número de empleados. Un propietario único en Texas que posea las direcciones de correo electrónico y los números de Seguro Social de clientes de Nueva York debe cumplir.
Definición de Información Privada
Antes del 21 de marzo de 2025, "información privada" significaba un nombre combinado con uno o más de los siguientes: número de Seguro Social, número de licencia de conducir o de identificación de no conductor, número de cuenta financiera más credenciales de seguridad, o número de cuenta más código de seguridad que pudiera permitir el acceso a la cuenta. La información biométrica también estaba incluida.
La enmienda de diciembre de 2024, firmada el 21 de diciembre de 2024 y vigente desde el 21 de marzo de 2025, agregó dos categorías nuevas:
- Información médica: cualquier información relacionada con el historial médico, la condición mental o física, o el tratamiento o diagnóstico de una persona por parte de un profesional de la salud.
- Información de seguro médico: el número de póliza de seguro médico de una persona, el número de identificación de suscriptor, cualquier identificador único utilizado por una aseguradora de salud para identificar a la persona, o cualquier información en el historial de solicitudes y reclamaciones de una persona, incluido el historial de apelaciones.
Una empresa que almacena registros de reclamaciones de asegurados, documentos de explicación de beneficios o historiales de tratamiento ahora debe tratar esos registros como información privada protegida bajo la Ley SHIELD.
Requisitos de Notificación de Violaciones
Cuando ocurre una violación, la enmienda de diciembre de 2024 (vigente de inmediato al ser firmada, el 21 de diciembre de 2024) exige:
- Notificar a los residentes de Nueva York afectados dentro de los 30 días posteriores al descubrimiento de la violación. El estándar anterior era "en el tiempo más expedito posible y sin demora injustificada", sin un límite establecido.
- Notificar a cuatro agencias estatales: el Fiscal General, el Departamento de Estado, la Policía Estatal, y ahora el Departamento de Servicios Financieros (el DFS fue agregado por la enmienda de diciembre de 2024).
- Si más de 500 residentes se ven afectados, proporcionar la determinación por escrito al Fiscal General dentro de los 10 días posteriores a esa determinación.
- Los custodios de datos (empresas que poseen pero no son propietarias de los datos) deben notificar al propietario o licenciatario de los datos dentro de los 30 días posteriores al descubrimiento de la violación.
La aplicación de la ley puede solicitar una demora en la notificación a los residentes cuando la notificación obstaculizaría una investigación criminal. Esa excepción permanece. La excepción anterior que permitía demoras para "restaurar la integridad del sistema" fue eliminada.
Requisito de Salvaguardas Razonables
La sección 899-bb exige que las empresas que posean u otorguen licencias de información privada implementen y mantengan un programa de seguridad de datos que incluya:
- Salvaguardas administrativas: designar a un empleado para coordinar la seguridad, identificar riesgos, capacitar a los empleados, seleccionar proveedores de servicios que cumplan con los requisitos, y ajustar el programa conforme cambian las circunstancias.
- Salvaguardas técnicas: evaluar y monitorear los controles de red, cifrar los datos en tránsito sobre redes públicas y en dispositivos portátiles, desechar los datos de manera segura.
- Salvaguardas físicas: evaluar los riesgos relacionados con el almacenamiento y disposición de documentos, detectar y prevenir el acceso no autorizado, y desechar la información privada en un tiempo razonable después de que ya no sea necesaria.
Las pequeñas empresas (menos de 50 empleados, menos de $3 millones en ingresos brutos anuales en cada uno de los últimos tres años, o menos de $5 millones en activos totales al cierre del año) satisfacen la sección 899-bb implementando salvaguardas "apropiadas para el tamaño y la complejidad de la pequeña empresa, la naturaleza y el alcance de sus actividades, y la sensibilidad de la información personal que recopila".
Sanciones de la Ley SHIELD
El Fiscal General aplica la Ley SHIELD. No mantener salvaguardas razonables conlleva una sanción civil de hasta $5,000 por violación. No proporcionar notificación oportuna de violaciones conlleva una sanción de $20 por instancia, con un tope de $250,000. Las violaciones conscientes o imprudentes pueden ser sancionadas con el mayor entre $5,000 por violación o $20 por falla de notificación, con el tope de $250,000.
23 NYCRR Parte 500: Regulación de Ciberseguridad del DFS
La regulación de ciberseguridad del Departamento de Servicios Financieros de Nueva York (23 NYCRR Parte 500), adoptada por primera vez en marzo de 2017, se aplica a todas las entidades con licencia, registro, carta constitutiva o autorización bajo la Ley Bancaria, la Ley de Seguros o la Ley de Servicios Financieros. Esto cubre bancos, compañías de seguros, prestamistas hipotecarios y otras empresas de servicios financieros que operan en Nueva York.
El DFS finalizó una segunda enmienda a la Parte 500 en noviembre de 2023, con implementación por fases que se extendió de noviembre de 2023 a noviembre de 2025.
Requisitos Clave
Sección 500.4 (Director de Seguridad de la Información): Las entidades cubiertas deben designar un CISO calificado responsable de supervisar el programa de ciberseguridad. El CISO reporta a la junta directiva o su equivalente al menos anualmente.
Sección 500.5 (Pruebas de Penetración y Evaluación de Vulnerabilidades): Pruebas de penetración anuales, y escaneos automatizados de vulnerabilidad semestrales (o con mayor frecuencia si una evaluación basada en riesgo lo justifica).
Sección 500.9 (Evaluación de Riesgos): Las evaluaciones periódicas de riesgo informan el diseño del programa de ciberseguridad. Las evaluaciones de riesgo deben documentarse y revisarse al menos anualmente.
Sección 500.12 (Autenticación Multifactor): Se requiere MFA para el acceso a todos los sistemas, incluido el acceso remoto. El plazo de noviembre de 2025 obligó a las entidades cubiertas a implementar MFA en todo el programa.
Sección 500.15 (Cifrado): Las entidades cubiertas deben cifrar la información no pública en reposo y en tránsito sobre redes externas. Desde el 1 de noviembre de 2025, la información no pública sin cifrar no puede transmitirse por redes externas.
Sección 500.16 (Plan de Respuesta a Incidentes): Mantener un plan de respuesta a incidentes por escrito. El plan debe cubrir la recuperación, la comunicación (interna y externa), la remediación y la documentación.
Sección 500.17 (Avisos al Superintendente): Las entidades cubiertas deben notificar al DFS los incidentes de ciberseguridad dentro de las 72 horas posteriores a determinar que ha ocurrido un incidente reportable. Esta es la obligación de reporte independiente del DFS, separada de la ventana de notificación al consumidor de 30 días de la Ley SHIELD.
Empresas Clase A
La enmienda de 2023 introdujo una nueva categoría "Clase A" para grandes entidades cubiertas: aquellas con al menos $20 millones en ingresos brutos anuales en cada uno de los últimos dos ejercicios fiscales Y ya sea 2,000 o más empleados promedio O más de $1,000 millones en ingresos brutos anuales. Las empresas Clase A deben realizar auditorías independientes anuales de sus programas de ciberseguridad, implementar sistemas de gestión de acceso privilegiado y cumplir con requisitos más estrictos de detección y monitoreo de endpoints.
Aplicación por Parte del DFS
El DFS tiene autoridad para imponer sanciones civiles monetarias bajo la Ley de Servicios Financieros. La acción de aplicación contra Delta Dental (30 de abril de 2026, $2.25 millones) ilustra las sanciones disponibles: el DFS sancionó a Delta Dental Insurance Company y Delta Dental de Nueva York por políticas inadecuadas de respuesta a incidentes y reporte tardío tras la violación de día cero de MOVEit de 2023, que expuso aproximadamente 60,000 archivos que contenían información personal de asegurados.
Ley de Información de Identificador Biométrico de NYC
La Ciudad de Nueva York promulgó la Ley Local 3 de 2021, codificada en el Código Administrativo de NYC Título 22, capítulo 12 (secciones 22-1201 a 22-1205). La ley entró en vigor en julio de 2021 y es aplicada por el Departamento de Protección al Consumidor y al Trabajador (DCWP).
Qué Cubre la Ley
Un "identificador biométrico" bajo la ley de NYC es una característica fisiológica o biológica utilizada para identificar a una persona, incluidos los escaneos de retina o iris, las huellas dactilares, las huellas de voz, los escaneos de geometría de mano o rostro, y otros identificadores similares. La ley se aplica a los establecimientos comerciales de la Ciudad de Nueva York.
Dos obligaciones fundamentales:
-
Señalización: Todo establecimiento comercial que recopile información de identificador biométrico debe colocar un cartel claro y visible cerca de todas las entradas de clientes informando al público que se está recopilando información de identificador biométrico. No colocar el cartel requerido está sujeto a una sanción de $500, con un período de corrección de 30 días después de un aviso escrito.
-
Sin venta: Los establecimientos comerciales no pueden vender, arrendar, comerciar, compartir a cambio de algo de valor, u obtener ganancias de otra manera de la información de identificador biométrico. Las violaciones negligentes conllevan una sanción de $500 por violación. Las violaciones intencionales o imprudentes conllevan $5,000 por violación. La parte ganadora recupera honorarios de abogados en todos los casos.
Ley de Privacidad Biométrica Estatal: Todavía Pendiente
S1422A, la Ley de Privacidad Biométrica de Nueva York, impondría requisitos de estilo BIPA en todo el estado: consentimiento por escrito antes de la recopilación, prohibición de venta, límites de retención de datos, y un derecho de acción privado con daños estatutarios. Hasta mayo de 2026, el proyecto de ley del Senado fue reportado favorablemente por el Comité de Protección al Consumidor y remitido al Comité de Internet y Tecnología, que luego lo reasignó. El proyecto de ley complementario de la Asamblea (A6031) permaneció en el Comité de Asuntos y Protección del Consumidor. Ninguna de las dos cámaras ha realizado una votación en el pleno.
Si se aprueba S1422A, se aplicaría a entidades privadas en todo el estado, no solo a los establecimientos comerciales de la Ciudad de Nueva York. Crearía daños estatutarios individuales similares a la BIPA de Illinois, que ha generado acuerdos de demandas colectivas por miles de millones de dólares a nivel nacional.
Monitoreo Electrónico de Empleados
La Sección 52-c de la Ley Laboral de Nueva York (Sección 52-c de la Ley de Derechos Civiles, vigente desde el 7 de mayo de 2022) exige a los empleadores privados con un lugar de negocios en Nueva York proporcionar aviso previo por escrito antes de monitorear las conversaciones telefónicas, el correo electrónico o el acceso a internet de los empleados.
Lo que deben hacer los empleadores:
Proporcionar un aviso escrito o electrónico a cada nuevo empleado al momento de la contratación. El empleado debe acusar recibo por escrito o electrónicamente. Publicar el aviso en un lugar visible accesible para todos los empleados.
El aviso debe indicar que las conversaciones telefónicas, el correo electrónico y el uso de internet pueden estar sujetos a monitoreo en cualquier momento por cualquier medio legal.
Lo que la ley no hace:
La ley no prohíbe el monitoreo. Solo exige la divulgación previa. El Fiscal General la aplica. Las sanciones son de $500 por una primera infracción, $1,000 por una segunda infracción, y $3,000 por cada infracción subsiguiente. No existe un derecho de acción privado.
Privacidad de Datos Estudiantiles: Sección 2-d de la Ley de Educación
La Sección 2-d de la Ley de Educación de Nueva York protege la información de identificación personal de los estudiantes (y, en circunstancias limitadas, de los maestros y directores) en posesión de las agencias educativas y sus proveedores tecnológicos contratados.
Obligaciones Clave Bajo la Ley de Educación 2-d
Declaración de Derechos de los Padres: Cada agencia educativa debe adoptar una "Declaración de Derechos de los Padres para la Privacidad y Seguridad de Datos" y publicarla públicamente. Los contratistas externos que trabajan con datos de estudiantes deben firmar un acuerdo de protección de datos.
Director de Privacidad (nivel estatal): El Departamento de Educación del Estado de Nueva York designa un CPO por un período de tres años. El CPO supervisa el cumplimiento, gestiona las notificaciones de violaciones a nivel estatal, y emite orientación.
Oficial de Protección de Datos (nivel de agencia): Cada distrito escolar o BOCES debe designar al menos un empleado como su oficial de protección de datos para implementar las políticas de la sección 2-d y servir como punto de contacto.
Marco NIST: Cada agencia debe implementar un programa de ciberseguridad alineado con el Marco de Ciberseguridad del NIST que cubra todo el ciclo de vida de los datos.
Límites a los contratistas externos: Los proveedores no pueden vender los datos de los estudiantes, usarlos para publicidad, ni usarlos para ningún propósito que no sea el propósito educativo establecido en el acuerdo.
Aplicación
El Comisionado de Educación del Estado tiene autoridad para investigar violaciones. Las sanciones pueden incluir la terminación del contrato, la recuperación de fondos, y la prohibición de futuros contratos estatales para infractores reincidentes.
Protecciones de Información de Salud
Nueva York tiene varias leyes de privacidad específicas de salud que operan independientemente de HIPAA:
La Sección 18 de la Ley de Salud Pública otorga a los pacientes y sus representantes autorizados el derecho de inspeccionar y copiar los registros médicos en posesión de proveedores de atención médica, instalaciones y organizaciones de mantenimiento de la salud. Los proveedores deben responder dentro de 10 días a una solicitud escrita.
Artículo 27-F de la Ley de Salud Pública (Información sobre VIH/SIDA): Los registros clínicos, resultados de pruebas y otra información que identifique a una persona VIH positiva son confidenciales. La divulgación requiere consentimiento por escrito, orden judicial, o una de varias excepciones estrechas. La divulgación no autorizada es un delito menor. La responsabilidad civil se aplica a las violaciones conscientes.
Sección 79-l de la Ley de Derechos Civiles: Protege los resultados de pruebas genéticas y las muestras de ADN. Los resultados no pueden divulgarse a aseguradoras, empleadores o acreedores sin consentimiento por escrito. Las violaciones conllevan una sanción civil y una causa de acción privada.
Sección 33.13 de la Ley de Higiene Mental: Los registros clínicos de las personas que reciben servicios de higiene mental son confidenciales. La divulgación sin consentimiento se permite solo en circunstancias específicas, como emergencias, órdenes judiciales, o reportes obligatorios.
Estas leyes estatales de privacidad de salud complementan HIPAA en lugar de reemplazarla. Las entidades cubiertas en Nueva York deben cumplir con ambos regímenes, siguiendo el estándar que sea más protector.
Historial de Aplicación del Fiscal General y del DFS: 2024-2026
El historial de aplicación de Nueva York desde finales de 2024 ha sido uno de los más activos de cualquier estado:
GEICO y Travelers (25 de noviembre de 2024): Acuerdo conjunto del Fiscal General y del DFS por $11.3 millones. GEICO pagó $9.75 millones ($4.75 millones a la OAG; $5 millones al DFS); Travelers pagó $1.55 millones ($350,000 a la OAG; $1.2 millones al DFS). Las herramientas de cotización en línea de ambas aseguradoras fueron explotadas por hackers que robaron números de licencia de conducir y fechas de nacimiento de más de 120,000 neoyorquinos; esos datos luego se usaron para presentar reclamaciones fraudulentas de desempleo de la era COVID.
Noblr (diciembre de 2024): Acuerdo de $500,000 por seguridad de datos inadecuada en la cotización de seguros de auto.
National Amusements (noviembre de 2024): Acuerdo de $250,000 por una violación de datos que afectó a más de 23,000 empleados de Nueva York. La investigación encontró que National Amusements retrasó la notificación a los trabajadores afectados por más de un año, violando los requisitos de notificación de la Ley SHIELD.
Marriott International (9 de octubre de 2024): Acuerdo multiestatal de $52 millones en total, con Nueva York recibiendo $2.29 millones. La violación afectó a 131.5 millones de clientes en todo el mundo a través de un intruso en el sistema de reservas de Starwood durante cuatro años.
Root Insurance (20 de marzo de 2025): Acuerdo de $975,000 después de que la herramienta de cotización de seguros de auto de Root permitiera a los hackers extraer números de licencia de conducir en texto plano de PDF descargables, exponiendo los datos de aproximadamente 45,000 neoyorquinos.
Allstate y National General (demanda presentada el 10 de marzo de 2025): El Fiscal General presentó una demanda contra ambas empresas por dos violaciones de datos separadas que expusieron números de licencia de conducir de más de 165,000 neoyorquinos. Hasta mayo de 2026, la demanda está pendiente.
Wojeski and Company (octubre de 2025): Acuerdo de $60,000 con una firma de contabilidad que esperó más de un año para notificar a más de 4,700 neoyorquinos sobre dos incidentes de ciberseguridad. La notificación tardía violó la Ley SHIELD.
Acuerdo multiestatal de seguros de auto (14 de octubre de 2025): $14.2 millones de ocho aseguradoras de auto (incluidas Liberty Mutual, Metromile, Farmers y The Hartford) por violaciones que afectaron a más de 825,000 neoyorquinos a través de herramientas de cotización explotadas.
Delta Dental (30 de abril de 2026): Orden de consentimiento del DFS que impone $2.25 millones por violaciones de la Parte 500 derivadas de la violación de MOVEit de 2023. La respuesta a incidentes de Delta Dental fue inadecuada y el reporte de la violación al DFS excedió el mandato de 72 horas.
La Ley de Privacidad de NY: Legislación Pendiente
Nueva York ha debatido una ley integral de privacidad del consumidor desde al menos 2019. Hasta mayo de 2026, ningún proyecto de ley ha sido aprobado.
Las versiones más activas en la sesión 2025-2026 son S3044 (Senado) y A8158 / A4947 (Asamblea). Estos proyectos de ley comparten características comunes: derechos del consumidor a acceder, corregir, eliminar y transferir sus datos; opt-out de publicidad dirigida y venta de datos personales; obligaciones para controladores y procesadores; y un mecanismo de aplicación del Fiscal General. Versiones anteriores (S5462, S6701) también incluían un derecho de acción privado que resultó ser un punto de fricción en sesiones anteriores.
S3044 fue aprobado por el Comité de Internet y Tecnología del Senado en mayo de 2025, y luego fue remitido nuevamente. A8158 fue introducido en enero de 2026. Ninguno ha llegado a una votación en el pleno en ninguna de las dos cámaras.
La Ley de Privacidad de Información de Salud de NY (NYHIPA), una propuesta separada dirigida a los datos de salud recopilados fuera de HIPAA, fue introducida en la sesión de 2023, vetada por la gobernadora Hochul, y luego revisada y reintroducida en marzo de 2026. Su estado está pendiente.
Las empresas que operan en Nueva York deben monitorear ambos proyectos de ley. Si alguno se aprueba, es probable que contenga una ventana de implementación de 12 a 18 meses similar a otras leyes estatales.
Marco Federal Superpuesto
HIPAA: La Ley de Portabilidad y Responsabilidad de Seguros de Salud cubre a la mayoría de los proveedores de atención médica, planes de salud y sus asociados comerciales que operan en Nueva York. La Regla de Privacidad y la Regla de Seguridad establecen estándares básicos para la información de salud protegida. Las leyes estatales de privacidad de salud de Nueva York (Artículo 27-F, Ley de Derechos Civiles 79-l, Ley de Higiene Mental 33.13) generalmente imponen obligaciones más estrictas.
GLBA (Ley Gramm-Leach-Bliley): Cubre a las instituciones financieras. Las entidades reguladas por el DFS en Nueva York deben cumplir tanto con la GLBA como con el 23 NYCRR Parte 500, siguiendo el estándar más estricto.
FCRA (Ley de Informes Crediticios Justos) y FACTA: Regulan a las agencias de informes de consumo y a los proveedores y usuarios de informes de consumo. Nueva York tiene su propia ley de informes crediticios (Ley General de Negocios secciones 380 y siguientes) que se asemeja a la FCRA con algunas protecciones adicionales.
COPPA (Ley de Protección de la Privacidad Infantil en Línea): Ley federal que exige consentimiento parental verificable antes de recopilar información personal de niños menores de 13 años. La Ley de Educación 2-d de Nueva York se aplica específicamente a los datos en el contexto escolar, pero COPPA se aplica a todos los servicios en línea dirigidos a niños.
Sección 5 de la Ley de la FTC: La autoridad de la FTC sobre engaño e injusticia se aplica a las empresas de Nueva York igual que en todo el país. La FTC ha usado la Sección 5 para imponer decretos de consentimiento a empresas que tergiversaron sus prácticas de seguridad.
Ley TAKE IT DOWN (Pub. L. 119-12, firmada el 19 de mayo de 2025): Penaliza la publicación de imágenes íntimas no consensuales (NCII), incluidos los deepfakes generados por IA. Las prohibiciones penales entraron en vigor de inmediato al momento de la firma. Las obligaciones de retiro de contenido para las plataformas (las plataformas cubiertas deben eliminar el NCII confirmado dentro de las 48 horas posteriores a una solicitud válida) entraron en vigor el 19 de mayo de 2026, con aplicación de la FTC.
APRA (Ley Estadounidense de Derechos de Privacidad): Un borrador bicameral avanzó en el 118º Congreso en 2024, pero no fue aprobado antes de que el Congreso terminara su sesión en enero de 2025. APRA 2.0 fue discutida en el 119º Congreso, pero no había avanzado a una votación en el pleno hasta mayo de 2026. Los residentes de Nueva York no tienen derechos federales integrales de privacidad bajo APRA.
Medidas Prácticas de Cumplimiento para las Empresas
Si su empresa posee información personal de residentes de Nueva York, esto es lo que debe hacer ahora:
Evalúe su inventario de datos. Determine qué categorías de información personal recopila y posee. Desde el 21 de marzo de 2025, los registros médicos y la información de seguro médico activan las obligaciones de seguridad y notificación de violaciones de la Ley SHIELD.
Actualice sus procedimientos de notificación de violaciones. La ventana de notificación de 30 días bajo la Ley SHIELD enmendada (vigente desde el 21 de diciembre de 2024) es estricta. Documente su plan de respuesta a incidentes con plazos específicos para el descubrimiento, la evaluación y la notificación. El Fiscal General, el Departamento de Estado, la Policía Estatal y el DFS requieren aviso para las violaciones que involucren a residentes de Nueva York.
Revise las salvaguardas frente al estándar de la Ley SHIELD. La sección 899-bb exige salvaguardas administrativas, técnicas y físicas apropiadas para el tamaño y la complejidad de su empresa. Documente su programa.
Si tiene licencia del DFS, asegúrese de que su programa 23 NYCRR Parte 500 refleje las enmiendas de noviembre de 2023. Todos los plazos de implementación por fases se extendieron hasta el 1 de noviembre de 2025. Las empresas Clase A deben haber completado auditorías independientes para el 1 de noviembre de 2025.
Si opera un negocio en la Ciudad de Nueva York que recopila cualquier dato biométrico de los clientes (geometría facial para control de acceso, huellas dactilares para pagos), coloque la señalización requerida y no venda esos datos.
Si emplea trabajadores en Nueva York, proporcione el aviso de monitoreo electrónico a cada empleado al momento de la contratación y publíquelo en el lugar de trabajo si monitorea el teléfono, el correo electrónico o el uso de internet.
Si opera una escuela o un proveedor de tecnología educativa que procesa datos de estudiantes en Nueva York, asegúrese de tener un acuerdo firmado de protección de datos con cada distrito escolar cliente y designe a un oficial de protección de datos.
Cómo Ejercen sus Derechos los Residentes de Nueva York
Los residentes de Nueva York actualmente no tienen los amplios derechos de ley estatal (acceso, eliminación, opt-out de venta) que tienen los residentes de California, Virginia o Colorado. Los derechos existentes provienen de leyes específicas por sector:
Registros médicos: Bajo la Sección 18 de la Ley de Salud Pública, usted puede solicitar una copia de sus registros médicos. Los proveedores deben responder dentro de 10 días. Se permite un cargo razonable por la copia.
Informes crediticios: Bajo la FCRA federal y el propio estatuto de informes crediticios de Nueva York, usted puede solicitar un informe crediticio anual gratuito de cada una de las tres principales agencias y disputar la información inexacta.
Datos financieros: Las instituciones reguladas por la GLBA deben proporcionar avisos anuales de privacidad. Usted puede optar por no compartir sus datos con terceros no afiliados siguiendo el procedimiento de opt-out descrito en el aviso.
Notificación de violaciones de datos: Si su información privada es comprometida, la empresa debe notificarle dentro de los 30 días y decirle qué fue expuesto. No se le exige tomar ninguna acción para recibir este aviso.
Datos biométricos en NYC: Si una empresa en la Ciudad de Nueva York está vendiendo sus datos biométricos, usted puede presentar una demanda privada bajo la Ley de Información de Identificador Biométrico de NYC. La empresa enfrenta $500 por violación negligente o $5,000 por violación intencional, más honorarios de abogados.
Derechos federales: HIPAA le otorga el derecho de acceder a sus registros de salud en posesión de entidades cubiertas. COPPA otorga a los padres el derecho de revisar y eliminar los datos recopilados sobre sus hijos menores de 13 años.
Cuando se apruebe una Ley de Privacidad de Nueva York integral, los residentes obtendrán el derecho de solicitar acceso a los datos que se poseen sobre ellos, corregir inexactitudes, solicitar la eliminación, y optar por no participar en publicidad dirigida y venta de datos personales.
Más Leyes de Nueva York
- Leyes de Grabación de Reuniones con IA de Nueva York
- Leyes de Pensión Conyugal de Nueva York
- Leyes de Empleo a Voluntad de Nueva York
- Leyes de Accidentes Automovilísticos de Nueva York
- Leyes de Sillas de Auto para Niños de Nueva York
- Leyes de Custodia de Menores de Nueva York
- Leyes de Manutención Infantil de Nueva York
- Leyes de Matrimonio de Hecho de Nueva York
- Leyes sobre Deepfakes de Nueva York
- Leyes de Divorcio de Nueva York
- Leyes sobre Mordeduras de Perro de Nueva York
- Leyes de Emancipación de Nueva York
- Leyes de Eliminación de Antecedentes Penales de Nueva York
- Leyes sobre Accidentes con Fuga de Nueva York
- Leyes de Propietarios e Inquilinos de Nueva York
- Leyes del Limón de Nueva York
Preguntas frecuentes
¿La Ley SHIELD otorga a los residentes de Nueva York el derecho de eliminar sus datos?
No. La Ley SHIELD se enfoca en las salvaguardas de seguridad y la notificación de violaciones. No otorga a los residentes el derecho de acceder, corregir o eliminar los datos que se poseen sobre ellos. Esos derechos vendrían de una futura ley integral de privacidad como la Ley de Privacidad de NY pendiente.
¿Cuándo entró en vigor el plazo de notificación de violaciones de 30 días de la Ley SHIELD?
El plazo de 30 días entró en vigor de inmediato cuando la gobernadora Hochul firmó las enmiendas de diciembre de 2024 el 21 de diciembre de 2024. La ley anterior exigía la notificación 'en el tiempo más expedito posible' sin un plazo específico.
¿Qué nuevas categorías de información privada cubre la Ley SHIELD desde 2025?
Desde el 21 de marzo de 2025, la 'información privada' bajo la Ley SHIELD incluye información médica (historial médico, condiciones, tratamientos, diagnósticos) e información de seguro médico (números de póliza, identificaciones de suscriptor, historial de reclamaciones y apelaciones). Estas fueron agregadas por la enmienda de diciembre de 2024 a la Sección 899-aa de la Ley General de Negocios de NY.
¿La Ley Biométrica de la Ciudad de Nueva York se aplica a oficinas fuera de la Ciudad de Nueva York?
No. El Código Administrativo de NYC Título 22, capítulo 12 se aplica únicamente a los establecimientos comerciales que operan dentro de la Ciudad de Nueva York. La Ley de Privacidad Biométrica de NY estatal (S1422A) extendería reglas similares a todo Nueva York, pero ese proyecto de ley no ha sido aprobado hasta mayo de 2026.
¿Qué es la regulación de ciberseguridad del DFS y a quién cubre?
El 23 NYCRR Parte 500 es la regla de ciberseguridad del Departamento de Servicios Financieros, que cubre a bancos, aseguradoras, prestamistas hipotecarios y otras entidades con licencia bajo la Ley Bancaria, la Ley de Seguros o la Ley de Servicios Financieros de Nueva York. Exige reporte de violaciones al DFS en 72 horas, autenticación multifactor, cifrado de información no pública, y para las grandes entidades 'Clase A', auditorías anuales independientes de ciberseguridad.
¿Nueva York ha aprobado una ley integral de privacidad del consumidor?
No, hasta mayo de 2026. Múltiples versiones de la Ley de Privacidad de Nueva York se han introducido desde 2019, más recientemente S3044 y A8158 en la sesión 2025-2026. Ninguna ha sido aprobada por ninguna de las dos cámaras. Nueva York no tiene derechos del consumidor de estilo CCPA bajo la ley estatal.
¿Puede un empleador de Nueva York monitorear los correos electrónicos y mensajes de texto de los empleados sin aviso?
No. La Sección 52-c de la Ley de Derechos Civiles (vigente desde el 7 de mayo de 2022) exige a los empleadores privados con un lugar de negocios en Nueva York proporcionar aviso previo por escrito a los empleados antes de monitorear las conversaciones telefónicas, el correo electrónico o el uso de internet. El aviso debe ser reconocido por escrito. La ley no prohíbe el monitoreo; solo exige la divulgación.
¿Qué es la Ley TAKE IT DOWN y cómo afecta a Nueva York?
La Ley TAKE IT DOWN (Pub. L. 119-12) fue firmada por el presidente Trump el 19 de mayo de 2025. Penaliza la publicación de imágenes íntimas no consensuales, incluidos los deepfakes generados por IA. Desde el 19 de mayo de 2026, las plataformas en línea cubiertas deben retirar el NCII confirmado dentro de las 48 horas posteriores a una solicitud válida. La FTC aplica las obligaciones de retiro de las plataformas. Esta es una ley federal y se aplica a los residentes y empresas de Nueva York.
¿Cómo reporto una violación de datos como empresa de Nueva York?
Si ocurre una violación de la información privada de residentes de Nueva York, notifique a los residentes afectados dentro de los 30 días. Si más de 500 residentes se ven afectados, proporcione aviso escrito al Fiscal General, al Departamento de Estado, a la Policía Estatal y al DFS. Reporte al Fiscal General en ag.ny.gov. Para las entidades reguladas por el DFS, también presente un aviso de incidente de ciberseguridad a través del portal del DFS dentro de las 72 horas posteriores a determinar que ocurrió un incidente reportable.
¿Existen sanciones por violar la Ley de Información de Identificador Biométrico de NYC?
Sí. No colocar la señalización requerida conlleva una sanción de $500 con un período de corrección de 30 días. Venta o intercambio negligente de datos biométricos: $500 por violación. Venta o intercambio intencional o imprudente: $5,000 por violación. El demandante ganador recupera honorarios de abogados en todos los casos. El DCWP también tiene autoridad de aplicación.
Fuentes y referencias
- Resumen de la Ley SHIELD - Fiscal General del Estado de Nueva York(ag.ny.gov).gov
- N.Y. Ley General de Negocios Sección 899-aa - Notificación de Violaciones(nysenate.gov).gov
- N.Y. Ley General de Negocios Sección 899-bb - Protecciones de Seguridad de Datos(nysenate.gov).gov
- Gestión de Violaciones de Seguridad de Datos - Departamento de Estado de NY(dos.ny.gov).gov
- Notificación de Violaciones y Reporte de Incidentes - Oficina de Servicios de TI de NY(its.ny.gov).gov
- Reglas de Información de Identificador Biométrico de NYC - DCWP(rules.cityofnewyork.us).gov
- N.Y. Ley de Derechos Civiles Sección 52-c - Notificación de Monitoreo de Empleados(nysenate.gov).gov
- Política de Privacidad y Seguridad de Datos del NYSED - Ley de Educación 2-d(nysed.gov).gov
- Declaración de Derechos de los Padres para la Privacidad y Seguridad de Datos - NYSED(nysed.gov).gov
- Derechos del Paciente y Acceso a la Información - Departamento de Salud de NY(health.ny.gov).gov
- Leyes y Regulaciones sobre VIH/SIDA - Departamento de Salud de NY(health.ny.gov).gov
- N.Y. Ley de Derechos Civiles Sección 79-l - Privacidad de Pruebas Genéticas(nysenate.gov).gov
- Proyecto de Ley del Senado S3044 - Ley de Privacidad de Nueva York (2025)(nysenate.gov).gov
- El Fiscal General James Obtiene $250,000 de National Amusements (2024)(ag.ny.gov).gov
- El Fiscal General James Obtiene $975,000 de Root Insurance (2025)(ag.ny.gov).gov
- 23 NYCRR Parte 500: Centro de Recursos de Ciberseguridad del DFS(dfs.ny.gov).gov
- Acuerdo de Ciberseguridad del DFS con Delta Dental, $2.25 millones (30 de abril de 2026)(dfs.ny.gov).gov
- El Fiscal General James y el DFS Obtienen $11.3 Millones de GEICO y Travelers (25 de noviembre de 2024)(ag.ny.gov).gov
- El Fiscal General James Demanda a National General y Allstate Insurance (10 de marzo de 2025)(ag.ny.gov).gov
- El Fiscal General James Obtiene $14.2 Millones de Aseguradoras de Auto por Violaciones de Datos (14 de octubre de 2025)(ag.ny.gov).gov
- El Fiscal General James Llega a un Acuerdo con la Firma de Contabilidad Wojeski, $60,000 (octubre de 2025)(ag.ny.gov).gov
- El Fiscal General James Obtiene $250,000 de National Amusements (noviembre de 2024)(ag.ny.gov).gov
- El Fiscal General James Anuncia Acuerdo Multiestatal de $52 Millones con Marriott (octubre de 2024)(ag.ny.gov).gov
- Código Administrativo de NYC Título 22, Cap. 12: Información de Identificador Biométrico(codelibrary.amlegal.com)
- N.Y. Ley de Educación § 2-d: Privacidad de Datos Estudiantiles (Legislatura de NY)(nysenate.gov).gov
- Ley TAKE IT DOWN: Ley Federal que Prohíbe el NCII (CRS, Congress.gov)(congress.gov).gov
- NY S1422A: Ley de Privacidad Biométrica (sesión 2025-2026)(nysenate.gov).gov
- Hunton Andrews Kurth: El Fiscal General de NY y el NYDFS Anuncian Acuerdo de $11.3M con GEICO y Travelers(hunton.com)