Rhode Island
Lista de Verificación de Cumplimiento de la RIDTPPA para Rhode Island

Cumplir con la Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island (RIDTPPA), R.I. Gen. Laws cap. 6-48.1, se reduce a una lista corta de pasos concretos: confirmar que usted está cubierto bajo los umbrales de la sección 6-48.1-4, publicar la divulgación de terceros del sitio web que exige la sección 6-48.1-3, elaborar un aviso de privacidad y un proceso de solicitud de derechos, obtener consentimiento previo (opt-in) antes de procesar datos sensibles, y establecer contratos con procesadores. La ley entró en vigencia el 1 de enero de 2026, por lo que estas obligaciones están vigentes desde 2026.
El elemento distintivo del cumplimiento es el deber de transparencia de la sección 6-48.1-3: un sitio web comercial o una aplicación de servicio de internet que recopile datos personales debe enumerar las categorías de datos que recopila e identificar a todos los terceros a quienes ha vendido o pueda vender esos datos. La aplicación de la ley corresponde exclusivamente al Fiscal General de Rhode Island bajo la sección 6-48.1-8, las infracciones se tratan como prácticas comerciales engañosas, y no existe un derecho legal de subsanación, por lo que construir el cumplimiento antes de que llegue una queja es importante.
Alcance jurisdiccional: Esto cubre la Ley de Transparencia y Protección de Datos y Privacidad de Rhode Island (R.I. Gen. Laws cap. 6-48.1). Es información legal general, no asesoría legal.
Paso 1: Confirme si está cubierto
Comience con la prueba de aplicabilidad de la sección 6-48.1-4. La ley se aplica a una persona que realiza negocios en Rhode Island, o que produce productos o servicios dirigidos a residentes de Rhode Island, y que durante un año calendario controló o procesó los datos personales de uno de dos grupos.
El primer desencadenante es 35,000 o más clientes, excluyendo los datos personales controlados o procesados únicamente con el fin de completar una transacción de pago. El segundo desencadenante es 10,000 o más clientes, combinado con derivar más del 20 por ciento de los ingresos brutos de la venta de datos personales.
Hay dos cosas que se deben mapear cuidadosamente. Primero, el estatuto usa el término cliente, definido en la sección 6-48.1-2 como una persona que reside en Rhode Island y actúa en un contexto individual o doméstico, por lo que los datos en contexto comercial o de empleo generalmente no cuentan para los umbrales. Segundo, varias categorías de entidades y datos quedan fuera de la ley bajo las exenciones de la sección 6-48.1-3, incluyendo organismos gubernamentales, ciertas instituciones financieras sujetas a Gramm-Leach-Bliley, entidades de salud cubiertas por HIPAA, y datos de la Ley de Informe Justo de Crédito. Mapee tanto el estatus de su entidad como sus conjuntos de datos frente a esas exenciones antes de concluir que está cubierto.
Paso 2: Elabore la divulgación de terceros del sitio web (el paso distintivo)
Si opera un sitio web comercial o una aplicación de servicio de internet que recopila datos personales, se le aplica el requisito más distintivo de Rhode Island. La sección 6-48.1-3 exige que esa divulgación haga tres cosas específicas, y este es el elemento con más probabilidades de pasarse por alto entre las empresas que han copiado una política de privacidad genérica de otro estado.
Primero, identifique todas las categorías de datos personales que el controlador recopila a través del sitio web o la aplicación. Segundo, identifique a todos los terceros a quienes el controlador ha vendido o pueda vender la información de identificación personal de los clientes. Tercero, provea un medio activo por el cual un cliente pueda comunicarse con el controlador sobre sus prácticas de datos.
El segundo elemento es el que requiere manejarse con cuidado. La mayoría de las leyes estatales de privacidad piden categorías de terceros; el texto de Rhode Island dice identificar a todos los terceros a quienes usted ha vendido o pueda vender datos. Planifique mantener una lista actualizada de esos terceros en lugar de una declaración de categoría genérica. Si usted vende datos personales o los procesa para publicidad dirigida, la sección 6-48.1-3 también exige que divulgue ese procesamiento de manera clara y visible.

Paso 3: Redacte un aviso de privacidad y un proceso de derechos conforme
Establezca un aviso de privacidad y un proceso de gestión de solicitudes vinculado a las secciones 6-48.1-5 y 6-48.1-6. Los clientes pueden confirmar y acceder a sus datos, corregir inexactitudes, eliminar datos, obtener una copia portátil, y optar por no participar en publicidad dirigida, venta, y cierto tipo de perfilado, por lo que su formulario de solicitud debe permitir que el cliente seleccione cada uno de esos derechos.
Las reglas de tiempo son concretas. Conforme a la sección 6-48.1-6, usted debe responder a una solicitud sin demora indebida y a más tardar 45 días después de recibirla, con una posible extensión de 45 días adicionales cuando sea razonablemente necesario, comunicada dentro de los primeros 45 días. La información debe proporcionarse sin costo una vez por cliente en cualquier período de 12 meses. Usted puede negar o cobrar por una solicitud solo si puede demostrar que es manifiestamente infundada, excesiva, o repetitiva.
Establezca también un canal de apelación. Si usted rechaza una solicitud, debe ofrecer un proceso de apelación visible y responder por escrito dentro de 60 días, y si niega la apelación debe darle al cliente una forma de presentar una queja ante el Fiscal General de Rhode Island. Tenga en cuenta que no puede exigir autenticación para una solicitud de exclusión (opt-out), así que mantenga esa vía de bajo esfuerzo.
Paso 4: Obtenga consentimiento previo (opt-in) para datos sensibles
Identifique cualquier dato sensible que procese y condiciónelo al consentimiento. Conforme a la sección 6-48.1-4, usted no puede procesar los datos sensibles de un cliente sin su consentimiento, y no puede procesar los datos sensibles de un menor conocido salvo con consentimiento y de conformidad con la Ley federal de Protección de la Privacidad Infantil en Línea.
Los datos sensibles se definen ampliamente en la sección 6-48.1-2. Incluyen datos que revelan origen racial o étnico, creencias religiosas, una condición o diagnóstico de salud mental o física, vida sexual, orientación sexual, o estatus de ciudadanía o inmigración, además de datos genéticos o biométricos utilizados para identificar a una persona, datos recopilados de un menor conocido, y datos de geolocalización precisa.
Haga que el consentimiento sea revocable. La sección 6-48.1-4 le exige proporcionar un mecanismo para otorgar y revocar el consentimiento y honrar una revocación dentro de 15 días de recibida. Audite sus flujos de datos para saber dónde ingresan los datos sensibles a sus sistemas y confirme que existe una barrera de consentimiento en cada punto de entrada.
Paso 5: Establezca contratos con procesadores y evaluaciones
Si utiliza proveedores que procesan datos personales en su nombre, la sección 6-48.1-7 exige un contrato escrito. El contrato debe establecer las instrucciones para procesar los datos, la naturaleza y el propósito del procesamiento, el tipo de datos sujetos al procesamiento, la duración del procesamiento, y los derechos y obligaciones de ambas partes.
El procesador también debe estar obligado a deberes de confidencialidad, a eliminar o devolver los datos al finalizar la relación, a poner información a disposición para demostrar el cumplimiento, a trasladar los requisitos a los subcontratistas, y a cooperar con las evaluaciones. Haga un inventario de sus proveedores y confirme que cada contrato contenga estos términos antes de comenzar el procesamiento.
La sección 6-48.1-7 también exige una evaluación de protección de datos para el procesamiento de mayor riesgo. Usted debe realizar y documentar una evaluación para cada actividad de procesamiento que presente un riesgo elevado de daño, que el estatuto identifica como publicidad dirigida, venta de datos personales, perfilado que conlleva ciertos riesgos, y procesamiento de datos sensibles. Mantenga estas evaluaciones archivadas, porque el Fiscal General puede solicitarlas en una investigación.

Paso 6: Comprenda la aplicación y las sanciones
La aplicación de la RIDTPPA es directa y completamente pública. La sección 6-48.1-8 otorga al Fiscal General de Rhode Island la autoridad exclusiva de aplicación, y establece expresamente que nada en la sección autoriza un derecho de acción privado. Un cliente no puede demandar directamente a una empresa; la vía de aplicación es una queja ante el Fiscal General.
Las infracciones se tratan como prácticas comerciales engañosas en violación de R.I. Gen. Laws cap. 6-13.1, que es la Ley de Prácticas Comerciales Engañosas de Rhode Island y proporciona el conjunto de herramientas de aplicación del Fiscal General. La sección 6-48.1-8 también establece una sanción específica para un tipo de infracción: una persona que divulga intencionalmente datos personales en violación del capítulo, o a una empresa fantasma creada para eludirlo, enfrenta una multa civil de no menos de $100 y no más de $500 por cada divulgación de este tipo.
De esto se derivan dos realidades de cumplimiento. Primero, la estructura por divulgación significa que las sanciones pueden escalar rápidamente cuando hay muchos registros involucrados. Segundo, a diferencia de varias otras leyes estatales de privacidad, la RIDTPPA no ofrece un derecho legal de subsanación, por lo que una empresa cubierta no debería contar con un período de gracia para corregir un problema después de que el Fiscal General lo identifique. Construir los controles anteriores antes del lanzamiento, en lugar de después de una queja, es la postura más segura.
Cumplimiento de la RIDTPPA de un vistazo
| Obligación | Estatuto | Requisito clave |
|---|---|---|
| Verificación de cobertura | 6-48.1-4 | 35,000 clientes, o 10,000 más 20% de ingresos por venta de datos |
| Divulgación en el sitio web | 6-48.1-3 | Enumerar las categorías de datos e identificar a todos los terceros receptores |
| Aviso de privacidad y derechos | 6-48.1-5, 6-48.1-6 | Respuesta en 45 días, gratis cada 12 meses, apelación en 60 días |
| Datos sensibles | 6-48.1-4 | Consentimiento previo (opt-in); honrar la revocación dentro de 15 días |
| Contratos con procesadores | 6-48.1-7 | Términos escritos y evaluaciones de protección de datos |
| Aplicación | 6-48.1-8 | Solo el Fiscal General; $100 a $500 por divulgación intencional; sin subsanación |
Más Leyes de Rhode Island
- Leyes de Grabación de Reuniones con IA de Rhode Island
- Leyes de Pensión Alimenticia de Rhode Island
- Leyes de Empleo a Voluntad de Rhode Island
- Leyes de Accidentes Automovilísticos de Rhode Island
- Leyes de Asientos de Auto para Niños de Rhode Island
- Leyes de Custodia de Menores de Rhode Island
- Leyes de Manutención Infantil de Rhode Island
- Leyes de Matrimonio de Hecho de Rhode Island
- Leyes sobre Deepfakes de Rhode Island
- Leyes de Divorcio de Rhode Island
- Leyes sobre Mordeduras de Perro de Rhode Island
- Leyes de Emancipación de Rhode Island
- Leyes de Eliminación de Antecedentes Penales de Rhode Island
- Leyes de Fuga del Lugar del Accidente de Rhode Island
- Leyes de Arrendador-Inquilino de Rhode Island
- Ley del Limón de Rhode Island
Guías relacionadas
Preguntas frecuentes
¿Quién debe cumplir con la RIDTPPA?
Conforme a R.I. Gen. Laws 6-48.1-4, la RIDTPPA se aplica a una empresa que realiza negocios en Rhode Island o dirige sus productos a residentes de Rhode Island y que, durante un año calendario, controla o procesa los datos personales de 35,000 o más clientes, o de 10,000 o más clientes mientras deriva más del 20 por ciento de sus ingresos brutos de la venta de datos personales. El umbral de 35,000 excluye los datos procesados únicamente para completar una transacción de pago.
¿Cuál es el requisito de divulgación en el sitio web de la RIDTPPA?
La sección 6-48.1-3 exige que un sitio web comercial o una aplicación de servicio de internet que recopile datos personales identifique todas las categorías de datos personales que recopila, identifique a todos los terceros a quienes ha vendido o pueda vender la información de identificación personal de los clientes, y proporcione una forma activa de contactar al controlador. El deber de nombrar a los terceros, en lugar de solo describir categorías, es el paso de cumplimiento distintivo de la ley.
¿Cuáles son las sanciones de la RIDTPPA?
Conforme a la sección 6-48.1-8, las infracciones son prácticas comerciales engañosas bajo R.I. Gen. Laws cap. 6-13.1. Una persona que divulga intencionalmente datos personales en violación del capítulo, o a una empresa fantasma creada para eludirlo, enfrenta una multa civil de no menos de $100 y no más de $500 por cada divulgación de este tipo. El Fiscal General aplica la ley, y las sanciones pueden escalar con el número de registros involucrados.
¿La RIDTPPA tiene un derecho de subsanación?
No. A partir de 2026, la RIDTPPA no ofrece un derecho legal de subsanación. La sección 6-48.1-8 otorga al Fiscal General la autoridad exclusiva de aplicación sin un período de gracia garantizado, por lo que una empresa cubierta debería construir el cumplimiento antes de que surja una queja, en lugar de depender del tiempo para corregir infracciones después.
¿Con qué rapidez debe una empresa responder a una solicitud de la RIDTPPA?
Conforme a la sección 6-48.1-6, un controlador debe responder sin demora indebida y a más tardar 45 días después de recibir la solicitud, con una posible extensión de 45 días adicionales cuando sea razonablemente necesario. La información debe proporcionarse sin costo una vez por cliente en cualquier período de 12 meses, y las apelaciones deben responderse por escrito dentro de 60 días.
¿La RIDTPPA exige reconocer una señal universal de exclusión?
No. La RIDTPPA no exige a los controladores honrar una señal universal de preferencia de exclusión, como el Control de [Privacidad](/world-laws/world-data-privacy-laws) Global. La sección 6-48.1-6 permite que agentes autorizados presenten solicitudes de exclusión, pero no existe un mandato legal para reconocer una señal a nivel de navegador, lo cual es una de las razones por las que la ley se considera menos estricta que los modelos de Colorado o Connecticut.
¿Cuándo requieren consentimiento previo los datos sensibles en Rhode Island?
Siempre, cuando los datos caen dentro de la definición. La sección 6-48.1-4 prohíbe procesar los datos sensibles de un cliente sin consentimiento. La sección 6-48.1-2 define los datos sensibles para incluir salud, origen racial o étnico, creencias religiosas, vida sexual, orientación sexual, estatus migratorio, identificadores genéticos o biométricos, datos de un menor conocido, y geolocalización precisa. El consentimiento debe ser revocable, y la revocación debe honrarse dentro de 15 días.
¿Necesito contratos con procesadores bajo la RIDTPPA?
Sí. La sección 6-48.1-7 exige un contrato escrito con cualquier procesador que maneje datos personales en su nombre. El contrato debe abordar las instrucciones de procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos, la duración, la confidencialidad, el traslado de obligaciones a subcontratistas, y la cooperación con las evaluaciones. También debe documentar una evaluación de protección de datos para el procesamiento de mayor riesgo, como publicidad dirigida, venta de datos, cierto tipo de perfilado, y datos sensibles.
Fuentes y referencias
- R.I. Gen. Laws 6-48.1-3: Prácticas de intercambio de información(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-4: Procesamiento de información(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-5: Derechos del cliente(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-6: Ejercicio de los derechos del cliente(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-7: Responsabilidades del controlador y del procesador(webserver.rilegislature.gov).gov
- R.I. Gen. Laws 6-48.1-8: Infracciones(webserver.rilegislature.gov).gov
- Oficina del Fiscal General de Rhode Island(riag.ri.gov).gov