Rhode Island
Leyes de Privacidad de Datos de Rhode Island: Guía de Derechos del Consumidor bajo la RIDTPPA (2026)

La Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island (RIDTPPA), codificada en el Capítulo 6-48.1 de R.I. Gen. Laws, entró en vigor el 1 de enero de 2026. La ley otorga a los residentes de Rhode Island el derecho a acceder, corregir, eliminar y excluirse del procesamiento de sus datos personales, y conlleva sanciones civiles de hasta $10,000 por infracción sin período de subsanación.
Rhode Island ha construido uno de los marcos de privacidad de datos más distintivos entre los estados de EE. UU. La Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island (RIDTPPA), codificada como el Capítulo 6-48.1 de R.I. Gen. Laws, entró en vigor el 1 de enero de 2026. El gobernador Daniel McKee transmitió la legislación para que se convirtiera en ley sin su firma el 25 de junio de 2024, lo que convirtió a Rhode Island en el vigésimo estado en promulgar un estatuto integral de privacidad de datos del consumidor. La ley pasó a través de dos proyectos de ley complementarios durante la sesión legislativa de 2024: el Proyecto de Ley de la Cámara H7787 y el Proyecto de Ley del Senado S2500.
La RIDTPPA se distingue de otras leyes de privacidad estatales en varios aspectos importantes. No otorga período de subsanación a las empresas que sean encontradas en infracción, exige la divulgación de posibles destinatarios de datos futuros, y establece umbrales de aplicabilidad más bajos que reflejan la población más pequeña de Rhode Island. La ley se unió a la Ley de Protección de Datos del Consumidor de Indiana y a la Ley de Protección de Datos del Consumidor de Kentucky como el trío de estatutos de privacidad estatales integrales que entraron en vigor el 1 de enero de 2026.
Rhode Island también ha promulgado protecciones complementarias: la Ley de Protección contra el Robo de Identidad del estado rige las violaciones de datos, y una ley de deepfakes de 2025 agrega sanciones penales por distribuir imágenes íntimas sintéticas. La Ley federal TAKE IT DOWN, firmada el 19 de mayo de 2025, añadió obligaciones adicionales para las plataformas que entraron en aplicación por la FTC el 19 de mayo de 2026.
Esta guía cubre todas las disposiciones principales de las leyes de privacidad de datos de Rhode Island, los derechos que usted tiene como consumidor, lo que las empresas deben hacer para cumplir, y las sanciones por incumplimiento.
Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island (RIDTPPA)
La RIDTPPA es la ley integral de privacidad de datos del consumidor de Rhode Island. Regula cómo las empresas recopilan, usan, almacenan, divulgan, venden y procesan los datos personales que pertenecen a los consumidores de Rhode Island. La ley está estructurada en diez secciones que cubren definiciones, prácticas de intercambio de información, requisitos de procesamiento, derechos del cliente, aplicación y exenciones. No se incluyó ninguna autoridad de reglamentación en el estatuto, por lo que no existen regulaciones de implementación; el texto legal es el documento operativo.

Rhode Island es uno de los tres estados cuya ley de privacidad integral entró en vigor el 1 de enero de 2026. La Ley de Protección de Datos del Consumidor de Indiana (INCDPA) y la Ley de Protección de Datos del Consumidor de Kentucky (KCDPA) comparten esa fecha de vigencia, aunque ambas están modeladas más estrechamente según la ley de Virginia e incluyen períodos de subsanación de 30 días que Rhode Island omite deliberadamente.
A Quién se Aplica la RIDTPPA
La RIDTPPA se aplica a las entidades con fines de lucro que realizan negocios en Rhode Island o producen productos o servicios dirigidos a residentes de Rhode Island y que, durante el año calendario anterior, cumplieron con cualquiera de estos umbrales:
- Controlaron o procesaron datos personales de al menos 35,000 residentes de Rhode Island (excluyendo los datos procesados únicamente para completar transacciones de pago), o
- Controlaron o procesaron datos personales de al menos 10,000 residentes de Rhode Island y obtuvieron más del 20% de los ingresos brutos de la venta de datos personales
Estos umbrales son notablemente más bajos que los de la mayoría de las otras leyes de privacidad estatales, lo que refleja la población de Rhode Island de aproximadamente 1.1 millones. Virginia y Colorado establecen sus umbrales en 100,000 consumidores; Indiana y Kentucky establecen los suyos en 100,000 consumidores o 25,000 con el 50% de ingresos por ventas. El umbral más bajo de Rhode Island significa que una gama más amplia de empresas que manejan datos de residentes de Rhode Island debe cumplir.
Los requisitos de aviso de privacidad según la Sección 6-48.1-3 se aplican de manera aún más amplia. Cualquier controlador de un sitio web comercial o proveedor de servicios de internet que recopile, almacene y venda información personal sobre residentes de Rhode Island debe cumplir con las reglas de divulgación de transparencia, independientemente de si cumplen con los umbrales de procesamiento anteriores.
Entidades Exentas
La RIDTPPA exime a varias categorías de entidades de sus requisitos según la Sección 6-48.1-10:
- Agencias estatales y unidades locales de gobierno, incluidos sus contratistas y subcontratistas
- Organizaciones sin fines de lucro reconocidas como exentas de impuestos según el Código de Rentas Internas
- Instituciones de educación superior con licencia o acreditación
- Instituciones financieras reguladas por el Título V de la Ley Gramm-Leach-Bliley (GLBA)
- Entidades cubiertas y asociados comerciales regulados por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
- Organizaciones nacionales de valores registradas reguladas por la Comisión de Bolsa y Valores
Categorías de Datos Exentas
Más allá de las exenciones a nivel de entidad, la RIDTPPA también excluye categorías específicas de datos ya reguladas según la ley federal:
- Información de salud protegida (PHI) sujeta a la HIPAA
- Datos personales regulados por la Ley de Informes Crediticios Justos (FCRA)
- Datos regidos por la Ley de Derechos Educativos y Privacidad Familiar (FERPA)
- Datos regulados por la Ley de Crédito Agrícola
- Información cubierta por la Ley de Protección de la Privacidad del Conductor
- Datos desidentificados que no pueden vincularse razonablemente a una persona identificable
- Información disponible públicamente en registros gubernamentales o medios de comunicación ampliamente distribuidos
Definiciones Clave Según la RIDTPPA
Comprender el marco de privacidad de datos de Rhode Island requiere familiaridad con las definiciones establecidas en la Sección 6-48.1-2.
Cliente significa un residente de Rhode Island que actúa en un contexto personal o doméstico. Las personas que actúan en calidad comercial o laboral no se consideran clientes según la ley.
Datos personales se define como la información vinculada o razonablemente vinculable a una persona identificada o identificable. Esto excluye los datos desidentificados y la información disponible públicamente.
Datos sensibles reciben protección reforzada e incluyen datos personales que revelan raza u origen étnico, creencias religiosas, condiciones o diagnósticos de salud, orientación sexual, condición de ciudadanía o inmigración, datos genéticos, datos biométricos usados para identificación, datos recopilados de un menor conocido, y datos de geolocalización precisa.
Datos biométricos cubre las mediciones automáticas de características biológicas, como huellas dactilares, huellas de voz y patrones de iris, usadas para identificación. No incluye fotografías o grabaciones a menos que se usen específicamente para identificar a una persona.
Datos de geolocalización precisa significa datos de ubicación derivados de tecnología, precisos dentro de un radio de 1,750 pies. Se excluyen los datos de infraestructura de comunicaciones o redes de servicios públicos.
Consentimiento requiere un acto claro y afirmativo que signifique acuerdo. La aceptación general de términos de uso, pasar el cursor sobre el contenido, u otros comportamientos pasivos no califican. La ley prohíbe específicamente los patrones oscuros, definidos como interfaces de usuario diseñadas para subvertir o perjudicar la autonomía, la toma de decisiones o la elección del usuario.
Venta de datos personales significa el intercambio de datos personales por contraprestación monetaria con un tercero. Las transferencias a encargados del procesamiento que actúan en nombre de un controlador, las transferencias a afiliados, las divulgaciones dirigidas por el cliente y las transferencias por fusión o adquisición están excluidas de esta definición.
Publicidad dirigida significa mostrar anuncios con base en datos personales obtenidos o inferidos de las actividades de un cliente a lo largo del tiempo en sitios web no afiliados. No incluye la publicidad contextual, la publicidad basada en búsquedas, ni la publicidad basada en actividades dentro de los propios sitios web del controlador.
Requisitos de Intercambio de Información y Transparencia
Uno de los aspectos más distintivos de la RIDTPPA es su enfoque hacia la transparencia. La Sección 6-48.1-3 exige a los controladores designar a una parte responsable y realizar tres divulgaciones clave en los acuerdos con los clientes, adendas del sitio web u otros lugares visibles.
Primero, el controlador debe identificar todas las categorías de datos personales que recopila sobre los clientes a través de su sitio web o servicio en línea.
Segundo, el controlador debe identificar a todos los terceros a los que ha vendido o puede vender la información de identificación personal de los clientes. Este requisito prospectivo es único entre las leyes de privacidad estatales. La mayoría de los estados solo exigen la divulgación de los destinatarios actuales de datos. Rhode Island exige a las empresas anticipar y divulgar también a los posibles destinatarios futuros.
Tercero, el controlador debe proporcionar una dirección de correo electrónico activa u otro mecanismo en línea que los clientes puedan usar para ponerse en contacto.
Los controladores que participan en la venta de datos personales o en la publicidad dirigida deben divulgar dicho procesamiento a los clientes de manera clara y visible.
Por Qué Importa el Requisito de Destinatarios Futuros
La obligación de identificar a los terceros a los que un controlador "puede vender" datos personales crea desafíos operativos significativos para las empresas. A diferencia de cualquier otra ley de privacidad estatal, Rhode Island exige que las empresas anticipen y predigan sus posibles relaciones de intercambio de datos. Este requisito impone un enfoque más integral y con visión de futuro hacia las prácticas de gobernanza de datos.

Requisitos de Procesamiento y Seguridad de Datos
La RIDTPPA establece reglas claras sobre cómo las empresas deben manejar los datos personales según la Sección 6-48.1-4.
Estándares de Seguridad de Datos
Los controladores deben establecer, implementar y mantener prácticas razonables de seguridad de datos administrativas, técnicas y físicas para proteger la confidencialidad, integridad y accesibilidad de los datos personales. La ley no prescribe medidas de seguridad específicas, lo que deja a las empresas la flexibilidad de elegir las salvaguardas apropiadas según sus circunstancias.
Datos Sensibles y Consentimiento
Los controladores no pueden procesar datos sensibles de los clientes sin obtener primero su consentimiento. Para los datos personales recopilados de menores de 13 años, los controladores deben cumplir con la Ley federal de Protección de la Privacidad Infantil en Línea (COPPA). Las entidades que siguen los requisitos de consentimiento parental de la COPPA se consideran conformes con los requisitos de Rhode Island para los datos de menores.
Revocación del Consentimiento y la Regla de los 15 Días
Los controladores deben proporcionar mecanismos que permitan a los clientes otorgar y revocar el consentimiento cuando se requiera. Cuando un cliente revoca el consentimiento, el controlador debe suspender el procesamiento de los datos de ese cliente tan pronto como sea posible, pero a más tardar 15 días después de recibir la solicitud de revocación. Este plazo específico proporciona una claridad que muchas otras leyes de privacidad estatales carecen.
No Discriminación en el Procesamiento de Datos
La RIDTPPA prohíbe procesar datos personales de formas que infrinjan las leyes estatales y federales contra la discriminación. Esta disposición garantiza que las decisiones basadas en datos no produzcan resultados discriminatorios ilegales.
Derechos del Consumidor Según la RIDTPPA
Los consumidores de Rhode Island obtienen un conjunto integral de derechos de privacidad de datos según la Sección 6-48.1-5. Estos derechos permiten a las personas comprender y controlar cómo las empresas usan su información personal.
Derecho a Confirmar y Acceder
Los clientes pueden confirmar si un controlador está procesando sus datos personales y acceder a esos datos. El derecho de acceso no se extiende a la información que revelaría secretos comerciales.
Derecho a Corregir
Los clientes pueden solicitar la corrección de inexactitudes en sus datos personales. Los controladores deben considerar la naturaleza de los datos y el propósito del procesamiento al responder a las solicitudes de corrección.
Derecho a Eliminar
Los clientes pueden solicitar la eliminación de los datos personales proporcionados por ellos u obtenidos sobre ellos. Esto se aplica a los datos que el cliente proporcionó directamente, así como a los datos que la empresa recopiló mediante observación o inferencia.
Derecho a la Portabilidad de Datos
Los clientes pueden obtener una copia de sus datos personales en un formato portátil y, en la medida técnicamente factible, fácilmente utilizable, que permita la transmisión a otro controlador sin demora indebida, siempre que el procesamiento se haya realizado por medios automatizados. Se excluyen los secretos comerciales.
Derecho a Excluirse
Los clientes pueden excluirse del procesamiento de datos personales para tres propósitos:
- Publicidad dirigida basada en el rastreo en sitios web no afiliados
- Venta de datos personales a terceros por contraprestación monetaria
- Perfilamiento que produce efectos legales o de importancia similar sobre el cliente
Protección Contra la No Discriminación
Los controladores no pueden discriminar contra los clientes que ejerzan sus derechos. Una empresa no debe negar bienes o servicios, cobrar precios diferentes, ni proporcionar un nivel de calidad diferente en función de la decisión de un cliente de excluirse. Sin embargo, los programas de lealtad genuinos, programas de recompensas, características premium, descuentos y programas de tarjetas de club a los que los clientes se unen voluntariamente pueden ofrecer precios o niveles de servicio diferenciados.
Agentes Autorizados y Derechos Parentales
Los clientes pueden designar agentes autorizados para presentar solicitudes de exclusión voluntaria en su nombre. Los padres y tutores pueden ejercer derechos en nombre de menores o personas bajo tutela legal.
Cómo Ejercer sus Derechos
La Sección 6-48.1-6 establece los procedimientos para ejercer los derechos del consumidor según la RIDTPPA.
Plazo de Respuesta
Los controladores deben responder a las solicitudes de los clientes dentro de 45 días. Si la complejidad de la solicitud justifica tiempo adicional, el controlador puede extender el período de respuesta por 45 días adicionales, para un total de 90 días. El controlador debe informar al cliente de cualquier prórroga dentro del período inicial de 45 días y explicar el motivo.
Respuestas Gratuitas
La información proporcionada en respuesta a una solicitud del cliente debe ser gratuita, una vez por cliente durante cualquier período de 12 meses. Los controladores pueden cobrar una tarifa razonable por solicitudes que sean manifiestamente infundadas, excesivas o repetitivas.
Autenticación
Los controladores pueden exigir una autenticación razonable para verificar la identidad de un cliente antes de procesar una solicitud. Los controladores no están obligados a autenticar las solicitudes de exclusión voluntaria. Solo pueden denegar una solicitud de exclusión voluntaria si tienen una creencia razonable y documentada de que la solicitud es fraudulenta.
Proceso de Apelación
Los controladores deben establecer un proceso para que los clientes apelen una negativa a actuar sobre una solicitud. El controlador tiene 60 días desde la recepción de una apelación para proporcionar una explicación escrita de su decisión. Si se deniega la apelación, el cliente puede presentar el asunto ante el Fiscal General de Rhode Island.
Manejo de Datos de Terceros
Cuando un controlador recibe una solicitud de eliminación de datos personales obtenidos de una fuente de terceros, puede cumplir ya sea conservando un registro de la solicitud de eliminación y absteniéndose de usar los datos en el futuro, o excluyendo al cliente de un procesamiento adicional.
Responsabilidades del Controlador y del Encargado del Procesamiento
La Sección 6-48.1-7 establece los deberes que los controladores y sus encargados del procesamiento deben cumplir.
Requisitos Contractuales
Los contratos entre controladores y encargados del procesamiento deben especificar las instrucciones de procesamiento, los tipos de datos cubiertos, los propósitos del procesamiento, la duración, y los derechos y obligaciones de ambas partes. Los contratos con los encargados del procesamiento deben exigir:
- Que el personal que maneja los datos mantenga la confidencialidad
- Eliminación o devolución de los datos a solicitud, a menos que se exija legalmente su retención
- Acceso del controlador a la información relacionada con el cumplimiento ante una solicitud razonable
- Subcontratos escritos que exijan a los subcontratistas cumplir con los mismos estándares que los encargados del procesamiento
- Evaluaciones independientes usando marcos reconocidos para verificar el cumplimiento
Evaluaciones de Protección de Datos
Los controladores deben realizar y documentar evaluaciones de protección de datos para las actividades de procesamiento que presenten un riesgo elevado. Estas evaluaciones se requieren para:
- Publicidad dirigida
- Venta de datos personales
- Perfilamiento que crea un riesgo de trato injusto o impacto dispar
- Procesamiento de datos sensibles
El Fiscal General de Rhode Island puede exigir a los controladores que divulguen estas evaluaciones durante las investigaciones. Las evaluaciones son confidenciales y están exentas de la divulgación de registros públicos. Se preservan las protecciones del privilegio abogado-cliente.
Responsabilidad del Encargado del Procesamiento
Si un encargado del procesamiento determina de forma independiente los propósitos y medios de procesamiento de datos personales más allá de las instrucciones del controlador, se convierte en controlador para ese procesamiento y queda sujeto a la aplicación correspondiente.
Protecciones de Datos Desidentificados
Los controladores que poseen datos desidentificados deben tomar medidas razonables para garantizar que los datos no puedan asociarse con una persona. Deben comprometerse públicamente a mantener esa separación. Cualquier entidad que reciba datos desidentificados debe aceptar contractualmente cumplir con estas disposiciones.
Aplicación y Sanciones: Sin Período de Subsanación
Las disposiciones de aplicación de la RIDTPPA según la Sección 6-48.1-8 la distinguen de la mayoría de las demás leyes de privacidad estatales.
Aplicación Exclusiva del Fiscal General
El Fiscal General de Rhode Island tiene la autoridad exclusiva para hacer cumplir la RIDTPPA. No existe derecho de acción privado. Los consumidores no pueden demandar directamente a las empresas por infracciones. En cambio, deben presentar quejas ante la oficina del Fiscal General.
Sin Período de Subsanación
A diferencia de la mayoría de las leyes de privacidad estatales que otorgan a las empresas un período de subsanación de 30 o 60 días para corregir infracciones antes de que se apliquen sanciones, Rhode Island no ofrece período de subsanación. El Fiscal General puede iniciar una acción de aplicación inmediatamente al determinar que ha ocurrido una infracción. Indiana y Kentucky, que comparten la fecha de vigencia del 1 de enero de 2026, otorgan ambos períodos de subsanación de 30 días. Rhode Island no otorga ninguno.
Estructura de Sanciones
Las infracciones de la RIDTPPA constituyen prácticas comerciales engañosas según la ley comercial de Rhode Island. Esto sujeta a los infractores a:
- Sanciones civiles de hasta $10,000 por infracción según el marco de prácticas comerciales engañosas
- Multas adicionales de $100 a $500 por divulgación por la divulgación intencional no autorizada de datos personales a empresas fachada o entidades formadas para eludir la ley
Estas sanciones pueden acumularse rápidamente. Una sola operación de procesamiento de datos que afecte a miles de consumidores podría generar sanciones de millones de dólares.
Sin Derecho de Acción Privado
La Sección 6-48.1-8 establece explícitamente que nada debe interpretarse como una autorización de derecho de acción privado. Toda la aplicación se canaliza a través del Fiscal General.
Estado de Aplicación: Etapa Inicial
La RIDTPPA entró en vigor el 1 de enero de 2026. A partir de mayo de 2026, la oficina del Fiscal General no ha anunciado ninguna acción de aplicación formal según el estatuto. La oficina se ha centrado en la educación y la orientación de cumplimiento para las empresas durante los primeros meses. Debido a que no existe período de subsanación, cualquier investigación formal podría avanzar directamente a procedimientos de sanción sin advertencia previa.
El Fiscal General Peter Neronha ha mantenido una postura activa de protección al consumidor en áreas relacionadas. En 2026, su oficina se unió a una coalición multiestatal que demandó para bloquear el intento de una agencia federal de obligar a los colegios y universidades a divulgar datos de estudiantes, un caso que demuestra la disposición de la oficina a usar el litigio como herramienta de protección de datos.

Ley de Notificación de Violación de Datos de Rhode Island
Separada de la RIDTPPA, la Ley de Protección contra el Robo de Identidad de 2015 de Rhode Island, codificada como el Capítulo 11-49.3 de R.I. Gen. Laws, rige cómo las empresas deben responder a las violaciones de datos.
Quién Debe Cumplir
Cualquier agencia municipal, agencia estatal o persona que almacene, posea, recopile, procese, mantenga, adquiera, use u otorgue licencias de datos que contengan información personal debe cumplir con los requisitos de notificación de violaciones.
Plazos de Notificación
Las entidades deben proporcionar notificación en el tiempo más expedito posible, sujeto a estos plazos máximos:
- Agencias estatales y municipales: A más tardar 30 días calendario después de la confirmación de la violación
- Todas las demás entidades: A más tardar 45 días calendario después de la confirmación de la violación
Requisitos para Violaciones de Gran Escala
Cuando una violación afecta a más de 500 residentes de Rhode Island, la entidad debe notificar a:
- El Fiscal General de Rhode Island
- Las principales agencias de informes crediticios
Estas notificaciones no deben retrasar el aviso a los residentes afectados.
Contenido Requerido de la Notificación
Las notificaciones de violación deben incluir:
- Una descripción del incidente y el número de personas afectadas
- Los tipos de información personal que fueron comprometidos
- La fecha o el rango de fechas estimado de la violación
- La fecha en que se descubrió la violación
- Información sobre servicios de remediación, incluidos los datos de contacto
- Instrucciones para presentar reportes policiales, colocar congelamientos de seguridad, y cualquier tarifa relacionada
Requisitos de Remediación para Agencias Gubernamentales
Las agencias estatales y municipales deben proporcionar servicios de protección contra el robo de identidad:
- Adultos: Un mínimo de 5 años de cobertura
- Menores: Cobertura hasta los 18 años, más al menos 2 años adicionales
Excepción de las Fuerzas del Orden
La notificación puede retrasarse si las fuerzas del orden determinan que impediría una investigación penal. Una vez que la agencia determina que la notificación es segura, la divulgación debe ocurrir tan pronto como sea posible.
Sanciones por Notificación de Violación
Según la Sección 11-49.3-5, las sanciones por incumplir los requisitos de notificación de violaciones incluyen:
- Infracciones imprudentes: Hasta $100 por registro afectado
- Infracciones conscientes e intencionales: Hasta $200 por registro afectado
El Fiscal General de Rhode Island tiene la autoridad para iniciar acciones legales cuando exista causa razonable para creer que ocurrió una infracción y que el enjuiciamiento sirve al interés público.
Ley de Deepfakes e Imágenes Sintéticas de Rhode Island (2025)
Rhode Island promulgó protecciones adicionales contra las imágenes íntimas no consentidas en 2025. El gobernador Daniel McKee firmó el H5046 y su proyecto de ley complementario S0136 el 2 de julio de 2025, ampliando la ley existente del estado sobre difusión no autorizada para cubrir contenido generado por IA y alterado digitalmente.
La ley de 2025 penaliza la creación o distribución de imágenes íntimas sintéticas de una persona real sin su consentimiento. Las sanciones están estructuradas por infracción:
- Primera infracción: un delito menor, sancionable con hasta 1 año de prisión y/o una multa de hasta $1,000
- Infracciones subsecuentes: un delito grave, sancionable con hasta 5 años de prisión y/o una multa de hasta $5,000
La legislación se firmó como ley en medio de una ola nacional de estatutos estatales sobre deepfakes. Los grupos de libertades civiles expresaron preocupaciones durante el proceso legislativo sobre su amplitud excesiva, particularmente en relación con la sátira y el contenido que involucra a figuras públicas. Los tribunales de Rhode Island aún no han abordado estas cuestiones en decisiones reportadas.
Leyes Federales de Privacidad que Aplican en Rhode Island
Varios estatutos federales de privacidad se aplican a las empresas que operan en Rhode Island junto con la ley estatal.
Ley TAKE IT DOWN (2025)
El presidente Trump firmó la Ley de Herramientas para Abordar la Explotación Conocida mediante la Inmovilización de Deepfakes Tecnológicos en Sitios Web y Redes (Ley TAKE IT DOWN), Pub. L. 119-12, el 19 de mayo de 2025. La prohibición penal de publicar imágenes íntimas no consentidas entró en vigor inmediatamente al firmarse. Las plataformas cubiertas tuvieron un año para establecer sistemas conformes de notificación y eliminación, lo que hizo que la obligación de cumplimiento de las plataformas entrara en vigor el 19 de mayo de 2026.
La FTC hace cumplir las obligaciones de las plataformas según la ley. Las plataformas cubiertas que reciben una solicitud válida de eliminación deben eliminar el contenido y cualquier copia idéntica conocida dentro de 48 horas. Las plataformas que no cumplan enfrentan sanciones civiles de $53,088 por infracción. Las plataformas cubiertas incluyen redes sociales, servicios de mensajería, plataformas para compartir imágenes y videos, y servicios de juegos. La Ley TAKE IT DOWN se aplica a nivel nacional, incluido Rhode Island, y complementa la propia ley de deepfakes de 2025 del estado.
Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
La HIPAA rige cómo las entidades cubiertas y los asociados comerciales manejan la información de salud protegida. Los proveedores de atención médica, planes de salud y cámaras de compensación de atención médica en Rhode Island deben cumplir con la Regla de Privacidad, la Regla de Seguridad y la Regla de Notificación de Violaciones de la HIPAA. Las entidades reguladas por la HIPAA están exentas de la RIDTPPA.
Ley Gramm-Leach-Bliley (GLBA)
La GLBA exige a las instituciones financieras explicar sus prácticas de intercambio de información y salvaguardar los datos sensibles. Los bancos, cooperativas de crédito, compañías de seguros y firmas de valores en Rhode Island deben cumplir con las disposiciones de la GLBA. Las instituciones financieras reguladas por la GLBA están exentas de la RIDTPPA.
Ley de Protección de la Privacidad Infantil en Línea (COPPA)
La COPPA se aplica a los sitios web comerciales y servicios en línea dirigidos a menores de 13 años que recopilan información personal. La RIDTPPA exige a los controladores procesar los datos de menores de acuerdo con la COPPA y considera que el cumplimiento de las disposiciones de consentimiento parental de la COPPA satisface los requisitos de Rhode Island para los datos de menores.
Ley de Derechos Educativos y Privacidad Familiar (FERPA)
La FERPA protege la privacidad de los registros educativos de los estudiantes. Las escuelas e instituciones educativas en Rhode Island deben cumplir con los requisitos de la FERPA para el manejo de los datos de los estudiantes. Los registros educativos regidos por la FERPA están exentos de la RIDTPPA.
Ley de Informes Crediticios Justos (FCRA)
La FCRA regula la recopilación, divulgación y uso de la información crediticia del consumidor. Las agencias de informes crediticios de consumidores y las entidades que usan informes de crédito deben cumplir con las disposiciones de la FCRA. Los datos regulados por la FCRA están excluidos de la cobertura de la RIDTPPA.
Ley de Derechos de Privacidad de Estados Unidos (APRA)
Un proyecto de ley federal integral de privacidad, la Ley de Derechos de Privacidad de Estados Unidos, avanzó en el Congreso en 2024 pero no se aprobó. Una versión revisada circuló en la sesión legislativa de 2025. A partir de mayo de 2026, no se ha promulgado ninguna ley federal integral de privacidad. La RIDTPPA de Rhode Island sigue siendo el marco operativo para las empresas cubiertas.
Cómo se Compara Rhode Island con Otras Leyes de Privacidad Estatales
El enfoque de Rhode Island hacia la privacidad de datos incluye varias características que lo distinguen de estatutos comparables, incluidas las otras dos leyes que comparten su fecha de vigencia del 1 de enero de 2026.
Comparación de Leyes de Privacidad Estatales del 1 de Enero de 2026
| Característica | Rhode Island (RIDTPPA) | Indiana (INCDPA) | Kentucky (KCDPA) |
|---|---|---|---|
| Umbral (consumidores) | 35,000 | 100,000 | 100,000 |
| Umbral de ingresos | 10,000 consumidores + 20% de ingresos por ventas | 25,000 consumidores + 50% de ingresos por ventas | 25,000 consumidores + 50% de ingresos por ventas |
| Período de subsanación | Ninguno | 30 días | 30 días |
| Sanción máxima | $10,000 por infracción | $7,500 por infracción | $7,500 por infracción |
| Divulgación de destinatarios futuros | Requerida | No requerida | No requerida |
| Derecho de acción privado | No | No | No |
| Aplicador | Fiscal General | Fiscal General | Fiscal General |

Sin Período de Subsanación
La mayoría de las leyes de privacidad estatales otorgan a las empresas de 30 a 60 días para corregir infracciones antes de que se apliquen sanciones. Rhode Island omite este paso por completo. El Fiscal General puede tomar acción de aplicación inmediatamente sin proporcionar oportunidad alguna de subsanación.
Divulgación de Destinatarios Futuros de Datos
Mientras que otros estados exigen a las empresas divulgar los terceros con los que actualmente comparten datos, Rhode Island va más allá al exigir la divulgación de los terceros a quienes el controlador "puede vender" información personal en el futuro. Este requisito prospectivo crea cargas de cumplimiento adicionales que no se encuentran en leyes comparables.
Umbrales de Aplicabilidad Más Bajos
El umbral de Rhode Island de 35,000 residentes (o 10,000 con el 20% de ingresos por ventas de datos) es sustancialmente más bajo que el de la mayoría de los otros estados, capturando una proporción mayor de empresas dada la población más pequeña del estado.
Amplios Requisitos de Aviso de Privacidad
Los requisitos de transparencia según la Sección 6-48.1-3 se aplican a cualquier sitio web comercial o proveedor de servicios de internet que recopile y venda información personal en Rhode Island, extendiéndose mucho más allá de los umbrales de procesamiento que rigen la mayoría de las demás disposiciones de la ley.
Clasificación como Práctica Comercial Engañosa
Al clasificar las infracciones como prácticas comerciales engañosas, Rhode Island puede aprovechar su infraestructura existente de aplicación de protección al consumidor. Esto le da al Fiscal General herramientas legales bien establecidas y precedentes para perseguir a los infractores.
Pasos Prácticos de Cumplimiento para las Empresas
Las empresas que manejan datos personales de residentes de Rhode Island deben seguir los siguientes pasos si cumplen con los umbrales de aplicabilidad:
- Audite su inventario de datos. Identifique todas las categorías de datos personales que recopila de los residentes de Rhode Island, incluso a través de análisis de sitios web, registros de compra e información de cuentas.
- Actualice su aviso de privacidad. Divulgue a todos los terceros a los que actualmente vende datos personales y a todos los terceros a los que puede venderlos en el futuro. Este es el requisito operativamente más distintivo de la RIDTPPA.
- Cree un proceso de solicitud de derechos. Establezca un mecanismo para que los consumidores presenten solicitudes de acceso, corrección, eliminación, portabilidad y exclusión voluntaria. Debe responder dentro de 45 días.
- Cree un mecanismo de consentimiento para datos sensibles. Si procesa categorías de datos sensibles (salud, biométricos, geolocalización precisa, datos de menores, etc.), necesita consentimiento previo antes de comenzar el procesamiento.
- Implemente la revocación del consentimiento. Proporcione un mecanismo para que los consumidores revoquen el consentimiento, y suspenda el procesamiento dentro de 15 días de recibir una revocación.
- Establezca un proceso de apelación. Cree un procedimiento para que los consumidores apelen las solicitudes denegadas, con respuestas escritas requeridas dentro de 60 días.
- Firme contratos con los encargados del procesamiento. Si usa proveedores que procesan datos personales en su nombre, asegúrese de que sus contratos incluyan los elementos exigidos por la Sección 6-48.1-7.
- Realice evaluaciones de protección de datos. Documente evaluaciones para las actividades de procesamiento de alto riesgo: publicidad dirigida, venta de datos, perfilamiento y procesamiento de datos sensibles.
- Prepárese para la aplicación inmediata. Debido a que no existe período de subsanación, trate el cumplimiento como una obligación desde el primer día, no como una falla corregible más tarde.
Guías detalladas
- ¿Qué es la RIDTPPA? Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island
- Derechos del Consumidor bajo la RIDTPPA: Sus Derechos de Privacidad de Datos
- Lista de Verificación de Cumplimiento de la RIDTPPA para Empresas (2026)
Más Leyes de Rhode Island
- Leyes de Grabación de Reuniones con IA de Rhode Island
- Leyes de Pensión Alimenticia de Rhode Island
- Leyes de Empleo a Voluntad de Rhode Island
- Leyes de Accidentes de Auto de Rhode Island
- Leyes de Asientos de Auto para Niños de Rhode Island
- Leyes de Custodia de Menores de Rhode Island
- Leyes de Manutención Infantil de Rhode Island
- Leyes de Matrimonio de Hecho de Rhode Island
- Leyes sobre Deepfakes de Rhode Island
- Leyes de Divorcio de Rhode Island
- Leyes sobre Mordeduras de Perro de Rhode Island
- Leyes de Emancipación de Rhode Island
- Leyes de Eliminación de Antecedentes Penales de Rhode Island
- Leyes sobre Choque y Fuga de Rhode Island
- Leyes de Propietarios e Inquilinos de Rhode Island
- Leyes de Vehículos Defectuosos (Ley del Limón) de Rhode Island
Este artículo tiene fines informativos únicamente y no constituye asesoría legal. Las leyes de privacidad de datos cambian con frecuencia y las interpretaciones de aplicación evolucionan con el tiempo. Consulte a un abogado con licencia en Rhode Island para obtener asesoría sobre su situación específica. Información verificada en mayo de 2026.
Preguntas frecuentes
¿Cuándo entró en vigor la Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island?
La RIDTPPA entró en vigor el 1 de enero de 2026. El gobernador Daniel McKee transmitió la ley sin su firma el 25 de junio de 2024, después de que la Asamblea General la aprobara a través de los proyectos de ley complementarios H7787 y S2500. Está codificada como el Capítulo 6-48.1 de R.I. Gen. Laws.
¿Le da Rhode Island a las empresas la oportunidad de corregir infracciones de privacidad de datos antes de imponer sanciones?
No. Rhode Island es uno de los pocos estados que no otorga período de subsanación. El Fiscal General puede iniciar una acción de aplicación inmediatamente al determinar que ha ocurrido una infracción. La mayoría de los demás estados otorgan de 30 a 60 días para que las empresas corrijan las infracciones antes de que se apliquen sanciones. Indiana y Kentucky, que comparten la fecha de vigencia del 1 de enero de 2026, permiten ambos períodos de subsanación de 30 días; la ley de Rhode Island no contiene tal disposición.
¿Puedo demandar directamente a una empresa por violar mis derechos de privacidad de datos en Rhode Island?
No. La RIDTPPA no incluye un derecho de acción privado. Solo el Fiscal General de Rhode Island puede hacer cumplir la ley. Si cree que una empresa ha violado sus derechos de privacidad de datos, puede presentar una queja ante la oficina del Fiscal General de Rhode Island en riag.ri.gov.
¿Qué hace que la ley de privacidad de datos de Rhode Island sea diferente de otros estados?
La RIDTPPA destaca en varios aspectos: no tiene período de subsanación, exige a las empresas divulgar los posibles destinatarios de datos futuros (no solo los actuales), establece umbrales de aplicabilidad más bajos de 35,000 consumidores, y clasifica las infracciones como prácticas comerciales engañosas que conllevan hasta $10,000 por infracción. La ley también aplica sus requisitos de aviso de privacidad de manera amplia a cualquier sitio web comercial que venda datos personales en Rhode Island, independientemente de los umbrales estándar de procesamiento.
¿Con qué rapidez debe una empresa notificarme sobre una violación de datos en Rhode Island?
Las empresas privadas deben notificar a los residentes de Rhode Island afectados dentro de 45 días calendario de confirmar una violación. Las agencias estatales y municipales tienen un plazo más corto de 30 días calendario. Si una violación afecta a más de 500 residentes, la entidad también debe notificar al Fiscal General de Rhode Island y a las principales agencias de informes crediticios. Las notificaciones deben incluir detalles sobre la violación, los tipos de información afectada, e instrucciones para obtener servicios de protección de identidad.
¿Cómo se compara la ley de privacidad de Rhode Island con las de Indiana y Kentucky?
Las tres leyes entraron en vigor el 1 de enero de 2026. Indiana y Kentucky están modeladas según la ley de Virginia, con umbrales de 100,000 consumidores y períodos de subsanación de 30 días; las sanciones tienen un límite de $7,500 por infracción. Rhode Island tiene un umbral más bajo de 35,000 consumidores, sin período de subsanación, una sanción máxima más alta de $10,000, y un requisito único de divulgar los posibles destinatarios de datos futuros. Rhode Island es la ley más estricta según todas las métricas de aplicación.
¿Existe una ley federal de deepfakes que se aplique en Rhode Island?
Sí. La Ley TAKE IT DOWN (Pub. L. 119-12), firmada el 19 de mayo de 2025, penaliza la publicación de imágenes íntimas no consentidas, incluidos los deepfakes generados por IA. A partir del 19 de mayo de 2026, las plataformas cubiertas deben eliminar el contenido marcado dentro de 48 horas de una solicitud válida. La FTC hace cumplir las obligaciones de las plataformas y puede imponer sanciones civiles de $53,088 por infracción. Rhode Island también promulgó su propia ley complementaria de deepfakes el 2 de julio de 2025.
¿Tiene Rhode Island su propia ley de deepfakes?
Sí. Rhode Island promulgó el H5046/S0136, firmado como ley el 2 de julio de 2025, que penaliza la distribución de imágenes íntimas sintéticas de una persona real sin su consentimiento. Las primeras infracciones son delitos menores (hasta 1 año de prisión y una multa de $1,000); las infracciones subsecuentes son delitos graves (hasta 5 años y una multa de $5,000). Esta ley estatal se aplica independientemente de la Ley federal TAKE IT DOWN.
Fuentes y referencias
- Ley de Transparencia de Datos y Protección de la Privacidad de Rhode Island: Capítulo 6-48.1 de R.I. Gen. Laws (Texto Completo)(webserver.rilegislature.gov).gov
- Definiciones de la RIDTPPA: Sección 6-48.1-2 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Prácticas de Intercambio de Información de la RIDTPPA: Sección 6-48.1-3 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Procesamiento de Información de la RIDTPPA: Sección 6-48.1-4 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Derechos del Cliente de la RIDTPPA: Sección 6-48.1-5 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Ejercicio de los Derechos del Cliente según la RIDTPPA: Sección 6-48.1-6 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Responsabilidades del Controlador y del Encargado del Procesamiento según la RIDTPPA: Sección 6-48.1-7 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Infracciones de la RIDTPPA: Sección 6-48.1-8 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Interpretación de la RIDTPPA: Sección 6-48.1-10 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Proyecto de Ley de la Cámara H7787, Sustituto A Enmendado (Texto Promulgado)(webserver.rilegislature.gov).gov
- Proyecto de Ley del Senado S2500, Sustituto A Enmendado (Texto Promulgado)(webserver.rilegislature.gov).gov
- Ley de Protección contra el Robo de Identidad de Rhode Island de 2015: Capítulo 11-49.3 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Requisitos de Notificación de Violación: Sección 11-49.3-4 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Sanciones de Notificación de Violación: Sección 11-49.3-5 de R.I. Gen. Laws(webserver.rilegislature.gov).gov
- Fiscal General de Rhode Island: Notificaciones de Violación de Datos(riag.ri.gov).gov
- Comunicado de Prensa de la Legislatura de Rhode Island: Ley de Transparencia de Datos y Protección de la Privacidad(rilegislature.gov).gov
- La FTC Comienza a Hacer Cumplir la Ley TAKE IT DOWN (mayo de 2026)(ftc.gov).gov
- Cumplimiento de la Ley Take It Down: Guía Empresarial de la FTC(ftc.gov).gov
- Nuevas Leyes de Privacidad Estatales Vigentes desde el 1 de Enero de 2026: Indiana, Kentucky y Rhode Island (Koley Jessen)(koleyjessen.com)